Като цяло всяка мрежова атака може да бъде разделена на 5 етапа (Таблица 3). В реална ситуация някои стъпки могат да бъдат пропуснати.
Таблица 3. Основни класове мрежови атаки
|
Клас мрежова атака |
Описание на класа |
|
1. Изследване |
Получаване Главна информацияза компютърната система (CS) |
|
1.1 Социално инженерство |
Получаване на информация чрез учтиво втриване в доверие по телефон, имейл и т.н. |
|
1.2 Директна инвазия |
Получаване на информация чрез физически достъп до мрежово оборудване |
|
1.3 Изхвърляне на отломки |
Извличане на информация от кошчета за боклук или архиви |
|
1.4 Търсене в WEB |
Получаване на информация от Интернет чрез обществени търсачки |
|
1.5 Проучване на WHOIS |
Получаване на информация от регистрационни данни за собствениците на имена на домейни, IP адреси и автономни системи |
|
1.6 Изследване на DNS зони |
Получаване на информация чрез използване на услуга за име на домейн |
|
2. Сканиране |
Получаване на информация за инфраструктурата и вътрешната структура на КС |
|
2.1 Търсене на активни устройства |
Получаване на информация за активни устройства на CS |
|
2.2 Проследяване на маршрути |
Дефиниция на топологията на CS |
|
2.3 Сканиране на портове |
Получаване на информация за активни услуги, работещи в COP |
|
3. Получаване на достъп |
Получаване на привилегировани права за управление на KS възли |
|
3.1 Препълване на стека |
Изпълнение на произволен код в резултат на софтуерен проблем, предизвикан от нападателя |
|
3.2 Атака на пароли |
Избор на пароли от списък със стандартни или с помощта на специално генериран речник, прихващане на пароли |
|
3.3 Атаки върху WEB - приложения |
Получаване на достъп в резултат на използване на уязвимости в отворени WEB приложения на CS |
|
3.4 Смъркане |
Получаване на достъп чрез пасивно (подслушване) и активно (подмяна на адресати) прихващане на CS трафик |
|
3.5 Прихващане на комуникационна сесия |
Използване на получените права за постигане на целите на хакването |
|
4.1 Поддържане на достъп |
Инсталиране на системи за дистанционно управление |
|
4.2 DOS атаки |
Деактивиране на устройства и индивидуални услуги KS |
|
4.3 Работа с поверителна информация |
Прихващане, копиране и/или унищожаване на информация |
|
5. Покриване на следи |
Прикриване на факта на проникване в CS от защитни системи |
|
5.1 Изтриване на системни регистрационни файлове |
Изтриване на данни от архиви на приложения и услуги на KS |
|
5.2 Скриване на признаци за присъствие в мрежата |
Тунелиране в рамките на стандартни протоколи (HTTP, ICMP, TCP заглавки и др.) |
Нека разгледаме основните методи и средства за защита срещу изброените мрежови заплахи.
Социално инженерство.Най-добрата защита срещу социалното инженерство е информираността на потребителите. Необходимо е да се информират всички служители за съществуването на социално инженерство и ясно да се дефинират онези видове информация, които не могат да бъдат разкривани по телефона под никакъв предлог. Ако организацията предоставя опции за предоставяне на каквато и да е информация по телефона (телефонни номера, идентификационни данни и т.н.), тогава тези процедури трябва да бъдат ясно регламентирани, например чрез използване на методи за проверка на самоличността на обаждащия се.
Директна инвазия:
* контрол на достъпа (системи за контрол на достъпа, дневник на посетителите, значки и др.);
ѕ физическа охранаоборудване (механични, електронни брави);
* заключване на компютър, скрийнсейвъри;
* криптиране на файловата система.
Събиране на боклук.Добре познатият шредер за хартия е най-добрата защита срещу тези, които ровят из кофите за боклук. Служителите трябва да имат безпрепятствен достъп до такива машини, за да могат да унищожат всякаква ценна информация. Като алтернатива, всеки потребител получава отделен кош за отпадъци, съдържащ важна информация, откъдето документите отиват в шредера всяка вечер. Служителите трябва да бъдат ясно инструктирани как да боравят с поверителна информация.
Търсете в WEB.Основният метод за защита е неразкриването на информация. Необходимо е да се направи списък с информация, необходима и достатъчна, за да бъде публикувана в публични ресурси в Интернет. Излишните данни за компанията могат да "помагат" на нападателя да реализира намеренията си. Служителите трябва да носят отговорност за разпространението на поверителна информация. Публикуването трябва да се проверява периодично. лична информациясамостоятелно или с участието на трети страни.
Изследване на WHOIS.Няма общ начин за защита срещу получаване на идентификационни данни от нападател. Има препоръки, според които информацията в съответните бази данни трябва да бъде максимално точна и правдоподобна. Това позволява на администраторите на различни компании да комуникират безпроблемно помежду си и да улесняват търсенето на натрапници.
Изследване на DNS зони.На първо място, трябва да проверите дали няма изтичане на данни на DNS сървъра, което възниква поради наличието на ненужна информация там. Тази информация може да бъде имена, съдържащи имена на операционни системи, записи като HINFO или TXT. Второ, трябва правилно да конфигурирате DNS сървъра, за да ограничите трансферите на зони. Трето, необходимо е граничният рутер да се конфигурира така, че само резервни DNS сървъри, които се синхронизират с централния сървър, да имат достъп до порт 53 (TCP и UDP). Трябва също да използвате разделянето на външния и вътрешния DNS сървър. Вътрешният сървър е конфигуриран да разрешава само имена на вътрешна мрежа, а правилата за пренасочване се използват за разрешаване на имена на външни мрежи. Тоест външният DNS сървър не трябва да "знае" нищо за вътрешната мрежа.
Търсете активни устройства и проследявайте маршрути.Методът на защита е да се инсталират и конфигурират защитни стени за филтриране на пакети по такъв начин, че да филтрират заявки от програми, използвани от нападател. Например, блокирането на ICMP заявки от ненадеждни източници ще направи проследяването много трудно.
Сканиране на портове.Първото и най-важно нещо е да затворите всички неизползвани портове. Например, ако не използвате TELNET, тогава трябва да затворите съответния порт. Когато разгръщате нова система, трябва предварително да разберете портовете, които тя използва, и да ги отворите според нуждите. При особено критични системи се препоръчва премахването на програми, съответстващи на ненужни услуги. Най-добрата системна настройка се счита, в която номерът инсталирани услугиа инструментите са минимални. Второ, трябва да го тествате сами собствена системада проникне, като по този начин предопредели действията на нарушителя. За да се предпазите от по-сложни скенери, се препоръчва използването на филтри за пакети със състояние. Тези филтри проверяват протоколни пакети и пропускат само тези, които съответстват на установените сесии.
Общите препоръки за борба с обхождането са навременно прилагане на пакети за сигурност, системи за откриване на проникване (IDS), системи за предотвратяване на проникване (IPS) за мрежата и за хостове и тяхното навременно актуализиране.
Препълване на стека.Методите за защита срещу този вид атаки могат да бъдат разделени на две категории.
- 1. Използвани методи системни администратории персонал по сигурността по време на експлоатацията, конфигурирането и поддръжката на системите: навременно прилагане на пачове към системите, проследяване на актуализации на инсталирани продукти, сервизни пакети за тях, премахване на ненужни програми и услуги, наблюдение и филтриране на входящ/изходящ трафик, настройка на не- изпълним стек. Много IDS са способни да откриват атаки за препълване на памет, базирани на подпис.
- 2. Методи, използвани от разработчиците на софтуер в процеса на създаване на програми: елиминиране на програмни грешки чрез проверка на пространството на наличната памет, количеството входна информация, преминаваща през приложението. Въздържайте се от използване на проблемни функции от гледна точка на сигурността; компилиране на програми със специални средства.
Горните методи помагат да се сведе до минимум броя на атаките за препълване на стека, но не гарантират пълна сигурност на системата.
Атаки с пароли.На първо място, силни пароли. Тези пароли са дълги най-малко 9 знака и съдържат специални знаци. Следва редовната смяна на паролите. За да работи правилно, се препоръчва да разработите специфична за организацията политика за пароли и да съобщите съдържанието й на всички потребители. Няма да е излишно да предоставите на служителите конкретни препоръки за създаване на пароли. Второ, препоръчително е да се използват системи с вградена проверка за "слабост" на паролите. Ако няма такава проверка, тогава трябва да се разгърне допълнителен софтуер, който има подобна функционалност. Най-ефективният начин е да отхвърляте пароли и да използвате системи за удостоверяване (смарт карти и др.). Препоръчително е редовно да тествате собствените си пароли. Добра практика е да се защитят хеширани файлове с пароли, както и техните сенчести копия.
Атаки срещу WEB-приложения.За да се предпазите от отвличане на акаунт, е необходимо да се покаже същата грешка на екрана, ако потребителското име или паролата са въведени неправилно. Това ще затрудни нападателят да наложи вашата ID или парола. Най-добрата защита срещу атаки за проследяване на връзката е хеширане на предадената информация за връзката, динамична промяна на идентификатора на сесията или прекратяване на неактивна сесия. Най-опасните атаки са SQL инжектиране в приложение. Защитата срещу тях е разработването на WEB-приложения по такъв начин, че да могат внимателно да филтрират данните, посочени от потребителя. Приложението не трябва да се доверява сляпо на въведената информация, тъй като може да съдържа знаци, които могат да се използват за модифициране на SQL команди. Приложението трябва да премахне специалните символи, преди да обработи заявката на потребителя.
Трябва да се отбележи, че днес активно се развива посоката WAF (Web Application Firewall) - защитна стена на ниво приложение, която предоставя изчерпателни методи за защита на WEB-ресурси. За съжаление, поради високата си цена, тези решения са достъпни предимно само за големи компании.
Смъркане.Първият е криптиране на данни, предавани по мрежата. За това се използват протоколи - HTTPS, SSH, PGP, IPSEC. Второто е внимателното боравене със сертификатите за сигурност, игнорирането на съмнителните сертификати. Използването на съвременни превключватели, които ви позволяват да конфигурирате MAC филтриране на портове, внедрява статична ARP таблица. Използвайте VLAN.
IP спуфинг. Тази заплахамогат да бъдат сведени до минимум чрез следните мерки.
- 1. Контрол на достъпа. На границата на мрежата са инсталирани филтри за пакети, за да филтрират целия трафик във външната мрежа, където адресът на източника в пакетите съдържа един от адресите на вътрешната мрежа.
- 2. Филтриране на RFC2827. Той намалява изходящия трафик във вашата вътрешна мрежа, където на нито един от IP адресите на вашата организация не е присвоен адресът на източника.
- 3. Въвеждането на допълнителни видове удостоверяване (двуфакторно) и криптографско криптиране прави подобни атаки напълно неефективни.
Прихващане на комуникационна сесия.Този тип атаки може да се бори ефективно само с помощта на криптография. Това може да бъде SSL-протокол, VPN-мрежи и т.н. За най-критичните системи е препоръчително да се използва криптиране и във вътрешни мрежи. Нападател, който прихване трафика на криптирана сесия, няма да може да получи ценна информация от нея.
DOS атаки.За да опишем средствата за защита срещу DOS атаки, нека разгледаме тяхната класификация. Тези атаки обикновено попадат в две категории: прекратяване на услугата и изчерпване на ресурсите (Таблица 5). Прекратяване на услугите - повреда или изключване на конкретен сървър, използван в мрежата. Изчерпване на ресурсите – загуба на компютърни или мрежови ресурси, за да се попречи на потребителите да получат атакуваната услуга. И двата вида атаки могат да се извършват както локално, така и отдалечено (през мрежата).
Защита срещу прекратяване на локални услуги: актуални пачове за сигурност за локални системи, редовно коригиране на грешки, диференциране на правата за достъп, прилагане на програми за проверка на целостта на файловете.
Защита срещу изчерпване на локалните ресурси: прилагане на принципа на най-малко привилегии при задаване на права за достъп, увеличаване на системните ресурси (памет, скорост на процесора, честотна лента и т.н.), използване на IDS.
Защита срещу дистанционно прекратяване на услугите: корекция, бърза реакция.
Най-добрата защита срещу изчерпване на ресурсите от разстояние е бързият отговор на атака. Съвременните IDS системи и сътрудничеството с доставчик могат да помогнат за това. Както в предишните параграфи, системите трябва да се актуализират и коригират своевременно. Използвайте функции против подправяне. Ограничете количеството трафик от доставчика. Най-критичните системи изискват адекватна честотна лента и излишни връзки.
Поддържане на достъп. Вируси и троянски коне.Най-добрата защита е ефективният антивирусен софтуер (софтуер), който работи както на ниво потребител, така и на ниво мрежа. Да предоставя високо нивоТези заплахи изискват редовни актуализации на антивирусен софтуер и сигнатури на известни вируси. Втората стъпка е получаването реални актуализацииоперационни системи, задаващи политики за сигурност на приложенията в съответствие с настоящите препоръки на техните разработчици. Необходимо е да се обучават потребителите в уменията за "безопасна" работа в Интернет и с електронна поща. Защитата срещу "ROOTKIT" се осигурява от политики за контрол на достъпа, антивирусен софтуер, използване на подправи и системи за откриване на проникване.
Прикриване на следи.След атака нападателят обикновено се опитва да избегне откриването от администраторите по сигурността. За тези цели той променя или изтрива лог файловете, съхраняващи историята на действията на нарушителя. Създаването на ефективна защита за предотвратяване на натрапник да променя регистрационните файлове е от съществено значение за сигурността. Количеството усилия, необходими за защита на регистрационната информация на дадена система, зависи от нейната стойност. Първата стъпка за гарантиране на целостта и полезността на регистрационните файлове е да се даде възможност за регистрация на критични системи. За да се избегне ситуация, в която в случай на непреодолима сила да се окаже, че логовете са деактивирани, е необходимо да се създаде политика за сигурност, в която да се регулират процедурите за регистриране. Препоръчваме ви редовно да проверявате системите си, за да сте сигурни, че отговарят на тази политика. Друга необходима мярка за защита на регистрационните файлове е диференцирането на правата за достъп до тези файлове. Ефективна техника за защита на вашите идентификационни данни е инсталирането на специален сървър за регистриране на събития, осигуряващ подходящо ниво на сигурност. Добри са и такива методи за защита като криптиране на регистрационни файлове и разрешаване на запис само до края на файла. Използване на IDS системи. Можете да защитите от тунелиране на две места: на целевия компютър и в мрежата. На целевия компютър защитата се осигурява от права за достъп, антивирусен софтуер, сигурна конфигурация и инсталиране на актуализации. На мрежово ниво тунелирането може да бъде открито от системи за откриване на проникване.
Основните методи за защита срещу мрежови атаки бяха изброени по-горе. На тяхна основа се изграждат комплексни решения, които могат да комбинират редица функции за защита на информацията и да се използват в специфичен модул от мрежовата инфраструктура.
20.06.05 37КИнтернет напълно променя начина ни на живот: работа, учене, свободно време. Тези промени ще се осъществят както във вече познати ни области (електронна търговия, достъп до информация в реално време, разширяване на комуникационните възможности и т.н.), така и в онези области, за които все още нямаме представа.
Може да дойде моментът, когато корпорацията ще извършва всичките си телефонни разговори през интернет, и то напълно безплатно. В личния живот е възможно да се появят специални уеб сайтове, с помощта на които родителите могат по всяко време да разберат как се справят децата им. Нашето общество тепърва започва да осъзнава неограничените възможности на Интернет.
Въведение
Наред с огромния ръст в популярността на Интернет, съществува безпрецедентна опасност от разкриване на лични данни, критични корпоративни ресурси, държавни тайни и др.
Всеки ден хакерите заплашват тези ресурси, опитвайки се да получат достъп до тях чрез специални атаки, които постепенно стават, от една страна, по-сложни, а от друга, по-лесни за изпълнение. Това се улеснява от два основни фактора.
Първо, това е повсеместното проникване на Интернет. Днес милиони устройства са свързани с интернет и много милиони устройства ще бъдат свързани с интернет в близко бъдеще, така че вероятността хакери да получат достъп до уязвими устройства непрекъснато нараства.
Освен това, широко използванеИнтернет позволява на хакерите да обменят информация в световен мащаб. Лесно търсене по ключови думикато "hacker", "hack", "hack", "crack" или "phreak" ще ви даде хиляди сайтове, много от които можете да намерите злонамерени кодове и как да ги използвате.
Второ, има широко разпространение на лесни за използване операционни системи и среди за разработка. Този фактор драстично намалява нивото на знания и умения, изисквани от хакера. Преди това, за да създава и разпространява лесни за използване приложения, хакерът трябваше да има добри умения за програмиране.
Сега, за да получите достъп до инструмента за хакване, трябва само да знаете IP адреса на желания сайт и за да извършите атака, достатъчно е да щракнете с мишката.
Класификация на мрежовите атаки
Мрежовите атаки са толкова разнообразни, колкото и системите, срещу които са насочени. Някои атаки са много сложни, други са по силите на обикновен оператор, който дори не знае до какво могат да доведат последствията от неговата дейност. За да се оцени видовете атаки, е необходимо да се знаят някои от присъщите ограничения на TPC/IP протокола. мрежа
Интернет е създаден за комуникация между държавни агенции и университети с цел оказване на помощ учебен процеси научни изследвания. Създателите на тази мрежа нямаха представа колко разпространена ще бъде тя. В резултат на това в ранните спецификации на интернет протокол (IP) липсваха изисквания за сигурност. Ето защо много IP реализации са по своята същност уязвими.
През годините, след много заявки (заявка за коментари, RFC), IP сигурността най-накрая започна да се прилага. Въпреки това, поради факта, че първоначално инструментите за сигурност за IP протокола не бяха разработени, всички негови реализации започнаха да се допълват от различни мрежови процедури, услуги и продукти, които намаляват рисковете, присъщи на този протокол. След това ще разгледаме набързо видовете атаки, които обикновено се използват срещу IP мрежи, и ще изброим начини за борба с тях.
Снифер на пакети
Сниферът за пакети е приложна програма, която използва мрежова карта, работеща в безразборен режим (в този режим всички пакети, получени по физически канали, се изпращат до приложението от мрежовия адаптер за обработка).
В същото време сниферът прихваща всички мрежови пакети, които се предават през определен домейн. В момента сниферите работят в мрежи на напълно законно основание. Използват се за отстраняване на неизправности и анализ на трафика. Въпреки това, поради факта, че някои мрежови приложения предават данни в текстов формат ( Telnet, FTP, SMTP, POP3 и др..), с помощта на снифер можете да откриете полезна и понякога поверителна информация (например потребителски имена и пароли).
Прихващането на потребителски имена и пароли е много опасно, тъй като потребителите често използват едно и също потребителско име и парола за множество приложения и системи. Много потребители обикновено имат единична паролаза достъп до всички ресурси и приложения.
Ако приложението работи в режим клиент-сървър и данните за удостоверяване се предават по мрежата в четим текстов формат, тогава тази информация най-вероятно може да се използва за достъп до други корпоративни или външни ресурси. Хакерите познават твърде добре и използват човешките слабости (методите за атака често се основават на методи на социално инженерство).
Те са напълно наясно, че използваме една и съща парола за достъп до много ресурси и затова често успяват, след като са научили паролата ни, да получат достъп до важна информация. В най-лошия случай хакерът получава достъп до потребителски ресурс на системно ниво и с негова помощ създава нов потребител, който може да бъде използван по всяко време за достъп до мрежата и нейните ресурси.
Можете да намалите заплахата от подслушване на пакети, като използвате следните инструменти:
Удостоверяване. Силните удостоверения са най-важният начин за защита срещу подслушване на пакети. Под „силни“ имаме предвид методи за удостоверяване, които са трудни за заобикаляне. Пример за такова удостоверяване са еднократните пароли (OTP).
OTP е технология за двуфакторно удостоверяване, която комбинира това, което имате с това, което знаете. Типичен пример за двуфакторна автентификация е работата на обикновен банкомат, който ви разпознава, първо, по вашата пластмасова карта, и второ, по въведения от вас ПИН код. За автентификация в OTP системата са необходими още ПИН код и вашата лична карта.
Токенът е хардуерен или софтуерен инструмент, който генерира на случаен принцип уникална еднократна еднократна парола. Ако хакер открие тази парола с помощта на снифер, тогава тази информация ще бъде безполезна, тъй като в този момент паролата вече ще бъде използвана и изтеглена от употреба.
Имайте предвид, че този метод против подсмърчане е ефективен само в случаите, когато пароли са прихванати. Сниферите, които прихващат друга информация (например имейл съобщения), не губят своята ефективност.
Комутирана инфраструктура... Друг начин за борба с подслушването на пакети във вашата мрежова среда е изграждането на комутирана инфраструктура. Ако, например, цяла организация използва комутиран Ethernet, хакерите имат достъп само до трафика на порта, към който са свързани. Комутираната инфраструктура не елиминира заплахата от подслушване, но значително намалява нейната тежест.
Анти-смърчачи. Третият начин за борба със смъркането е да инсталирате хардуер или софтуерни инструментикоито разпознават снифери, работещи във вашата мрежа. Тези инструменти не могат напълно да премахнат заплахата, но като много други инструменти за мрежова сигурност, те са включени в цялостната защитна система. Анти-сниферите измерват отзивчивостта на хоста и определят дали хостовете трябва да се справят с ненужния трафик. Един такъв продукт, доставен от LOpht Heavy Industries, се нарича AntiSniff.
Криптография. Този най-ефективен начин за справяне с подслушването на пакети, въпреки че не предотвратява подслушването и не разпознава работата на сниферите, прави тази работа безполезна. Ако комуникационният канал е криптографски защитен, тогава хакерът не прихваща съобщението, а шифрованата (тоест неразбираема последователност от битове). Криптографията на мрежовия слой на Cisco се основава на IPSec, който е стандартен метод за сигурна комуникация между устройства, използващи IP. Към други криптографски протоколи управление на мрежатавключват протоколи SSH (Secure Shell) и SSL (Secure Socket Layer).
IP спуфинг
IP спуфинг възниква, когато хакер, независимо дали е вътре или извън корпорация, се представя за оторизиран потребител. Това може да стане по два начина: хакерът може да използва или IP адрес, който е в обхвата на оторизираните IP адреси, или оторизиран външен адрес, който има разрешен достъп до определени мрежови ресурси.
Атаките с IP спуфинг често са отправна точка за други атаки. Класически пример е DoS атака, която започва с адрес на някой друг, който крие истинската самоличност на хакера.
Обикновено IP спуфингът е ограничен до вмъкване на фалшива информация или злонамерени команди в нормалния поток от данни между клиентски и сървърни приложения или комуникации между партньори.
За двупосочна комуникация хакерът трябва да промени всички таблици за маршрутизиране, за да насочи трафика към подправен IP адрес. Някои хакери обаче дори не се опитват да получат отговор от приложения - ако основната задача е да получат от системата важен файлтогава отговорите на приложението са без значение.
Ако хакерът успее да промени таблиците за маршрутизиране и да насочи трафика към фалшив IP адрес, той ще получи всички пакети и ще може да отговори на тях, сякаш е оторизиран потребител.
Заплахата от измама може да бъде смекчена (но не и елиминирана) чрез използване на следните мерки:
- Контрол на достъпа... Най-лесният начин за предотвратяване на IP спуфинг е правилна настройкаконтрол на достъпа. За да намалите ефективността на IP спуфинг, конфигурирайте контрола на достъпа, за да отрежете всеки трафик, идващ от външната мрежа с адрес на източник, който трябва да е във вашата мрежа.
Това обаче помага за борба с IP спуфинг, когато са разрешени само вътрешни адреси; ако някои адреси на външната мрежа също са разрешени, този метод става неефективен;
- Филтриране на RFC 2827. Можете да попречите на потребителите на вашата мрежа да измамят мрежите на други хора (и да станете добър гражданин на мрежата). Това изисква отхвърляне на всеки изходящ трафик, чийто изходен адрес не е един от IP адресите на вашата организация.
Този тип филтриране, известен като RFC 2827, може да се извърши и от вашия интернет доставчик. В резултат на това целият трафик, който няма очакван адрес на източник на конкретен интерфейс, се отхвърля. Например, ако доставчикът на интернет услуги предоставя връзка с IP адрес 15.1.1.0/24, той може да конфигурира филтъра така, че само трафик, идващ от 15.1.1.0/24, да бъде разрешен от този интерфейс към рутера на ISP.
Имайте предвид, че докато всички доставчици не въведат този тип филтриране, неговата ефективност ще бъде много по-ниска от възможното. Освен това, колкото по-далече от филтрираните устройства, толкова по-трудно е да се извърши точно филтриране. Например филтрирането по RFC 2827 на ниво рутер за достъп изисква целият трафик да преминава от главния мрежов адрес (10.0.0.0/8), докато на ниво на разпространение (в тази архитектура) можете да ограничите трафика по-точно (адрес - 10.1. 5,0/24).
Най-ефективният метод за справяне с IP спуфинг е същият като при подслушване на пакети: атаката трябва да бъде напълно неефективна. IP спуфингът може да функционира само ако удостоверяването се основава на IP адреси.
Следователно, въвеждането на допълнителни методи за удостоверяване прави подобни атаки безполезни. Най-добрият тип допълнително удостоверяване е криптографското. Ако не е възможно хубави резултатиможе да даде двуфакторна автентификацияизползване на еднократни пароли.
Отказ на услуга
Отказ от услуга (DoS) без съмнение е най-известната форма на хакерски атаки. Освен това срещу този тип атака е най-трудно да се създаде стопроцентова защита. DoS атаките се считат за детска игра сред хакерите и използването им предизвиква презрителни усмивки, тъй като организацията на DoS изисква минимум знания и умения.
Въпреки това, простотата на внедряване и абсолютната величина на вредата са тези, които причиняват DoS, за да привлече вниманието на администраторите на мрежовата сигурност. Ако искате да научите повече за DoS атаките, трябва да разгледате по-добре познатите разновидности, които са:
- TCP SYN Flood;
- Пинг на смъртта;
- Tribe Flood Network (TFN) и Tribe Flood Network 2000 (TFN2K);
- Тринко;
- Stacheldracht;
- Троица.
Отличен източник на информация за сигурността е екипът за спешно реагиране на компютър (CERT), който има отлична работа по противодействие на DoS атаките.
DoS атаките са различни от другите видове атаки. Те не целят нито да получат достъп до вашата мрежа, нито да получат информация от тази мрежа, но DoS атака прави вашата мрежа недостъпна за нормална употребачрез превишаване на допустимите граници за работа на мрежата, операционната система или приложението.
В случай на използване на някои сървърни приложения(като уеб сървър или FTP сървър) DoS атаките могат да бъдат заграбване на всички налични връзки за тези приложения и поддържане на работа, предотвратявайки обслужването на обикновените потребители. DoS атаките могат да използват общи интернет протоколи като TCP и ICMP ( Протокол за интернет контролни съобщения).
Повечето DoS атаки не са предназначени за насочване софтуерни грешкиили пробив в сигурността, а по-скоро обща слабост в архитектурата на системата. Някои атаки анулират производителността на мрежата, като наводняват мрежата с нежелани и ненужни пакетиили чрез докладване на невярна информация за текущото състояние на мрежовите ресурси.
Този тип атака е трудно да се предотврати, тъй като изисква координация с доставчика. Ако не спрете трафика от доставчика, предназначен да препълни вашата мрежа, тогава няма да можете да направите това на входа на мрежата, тъй като цялата честотна лента ще бъде заета. Когато този тип атака се извършва едновременно чрез много устройства, говорим за разпределена DoS атака(разпределено DoS, DDoS).
Заплахата от DoS атаки може да бъде смекчена по три начина:
- Функции против спуфинг... Правилното конфигуриране на функциите против спуфинг на вашите рутери и защитни стени ще помогне за намаляване на риска от DoS. Като минимум тези функции трябва да включват филтриране по RFC 2827. Освен ако хакерът не успее да прикрие истинската си самоличност, е малко вероятно той да започне атака.
- Anti-DoS функции. Правилната конфигурация на анти-DoS функции на рутери и защитни стени може да ограничи ефективността на атаките. Тези функции често ограничават броя на полуотворените канали във всеки даден момент.
- Ограничаване на скоростта на трафика... Организацията може да поиска от интернет доставчика да ограничи количеството трафик. Този тип филтриране ви позволява да ограничите количеството на некритичния трафик, преминаващ през вашата мрежа. Типичен пример е ограничаването на количеството ICMP трафик, който се използва само за диагностични цели. (D) DoS атаките често използват ICMP.
Атаки с парола
Хакерите могат да извършват атаки с пароли, използвайки различни техники, като атаки с груба сила, троянски кон, IP спуфинг и подслушване на пакети. Въпреки че потребителското име и паролата често могат да бъдат получени чрез IP спуфинг и подслушване на пакети, хакерите често се опитват да отгатнат паролата и потребителското име, използвайки множество опити за достъп. Този подход се нарича атака с груба сила.
Често се използва за такава атака специална програмакойто се опитва да получи достъп до ресурса обща употреба(например към сървъра). Ако в резултат на това хакерът получи достъп до ресурси, той го получава като обикновен потребител, чиято парола е избрана.
Ако този потребител има значителни привилегии за достъп, хакерът може да създаде "проход" за себе си за бъдещ достъп, който ще бъде валиден дори ако потребителят промени своята парола и вход.
Друг проблем възниква, когато потребителите използват една и съща (макар и много добра) парола за достъп до много системи: корпоративни, лични и интернет системи. Тъй като силата на паролата е равна на силата на най-слабия хост, хакер, който научи паролата чрез този хост, получава достъп до всички други системи, където се използва същата парола.
Атаките с пароли могат да бъдат избегнати, като не се използват пароли текстова форма... Еднократните пароли и/или криптографската автентификация могат на практика да премахнат заплахата от подобни атаки. За съжаление, не всички приложения, хостове и устройства поддържат горните методи за удостоверяване.
Когато използвате обикновени пароли, опитайте се да измислите такава, която би била трудна за отгатване. Минималната дължина на паролата трябва да бъде най-малко осем знака. Паролата трябва да включва главни букви, цифри и специални знаци (#,%, $ и т.н.).
Най-добрите паролитрудно за избиране и трудно запомняне, което принуждава потребителите да ги записват на хартия. За да избегнат това, потребителите и администраторите могат да използват редица от най-новите технологични постижения.
Например, има приложни програми, които криптират списък с пароли, които можете да съхранявате във вашия Pocket PC. В резултат на това потребителят трябва да запомни само една сложна парола, докато всички останали ще бъдат надеждно защитени от приложението.
Има няколко метода за администратора да се бори с отгатването на парола. Единият е да използвате инструмента L0phtCrack, който често се използва от хакери за отгатване на пароли в Windows NT. Този инструмент бързо ще ви покаже дали е лесно да отгатнете паролата, която потребителят е избрал. Повече информация можете да получите на http://www.l0phtcrack.com/.
Атаки на човек по средата
За атака Man-in-the-Middle, хакерът се нуждае от достъп до пакети в мрежата. Такъв достъп до всички пакети, предавани от доставчика към всяка друга мрежа, може например да бъде получен от служител на този доставчик. Този тип атака често използва снифери на пакети, транспортни протоколи и протоколи за маршрутизиране.
Атаките се извършват с цел кражба на информация, прихващане на текущата сесия и получаване на достъп до частни мрежови ресурси, за анализиране на трафика и получаване на информация за мрежата и нейните потребители, за извършване на DoS атаки, изкривяване на предаваните данни и въвеждане на неоторизирана информация в мрежови сесии.
Атаките на човек в средата могат да бъдат ефективно борени само с помощта на криптография. Ако хакер прихване данните от криптирана сесия, на екрана му ще се появи не прихванатото съобщение, а безсмислен набор от знаци. Имайте предвид, че ако хакер получи информация за криптографска сесия (например ключ за сесия), това може да направи възможна атака Man-in-the-Middle дори в криптирана среда.
Атаки на слоя на приложения
Атаките на приложния слой могат да се извършват по няколко начина. Най-често срещаният от тях е използването на добре познати слабости в сървърния софтуер (sendmail, HTTP, FTP). Използвайки тези слабости, хакерите могат да получат достъп до компютъра от името на потребителя, който изпълнява приложението (обикновено това не е обикновен потребител, а привилегирован администратор с права за достъп до системата).
Атаките на ниво приложение са широко разгласени, за да се даде възможност на администраторите да отстранят проблема с коригиращи модули (пачове). За съжаление, много хакери също имат достъп до тази информация, което им позволява да се подобрят.
Основният проблем с атаките на приложния слой е, че хакерите често използват портове, през които е позволено да преминават. защитна стена... Например хакер, който използва известна слабост в уеб сървър, често използва TSR порт 80. Тъй като уеб сървърът предоставя на потребителите уеб страници, защитната стена трябва да осигури достъп до този порт. От гледна точка на защитната стена, атаката се третира като стандартен трафик на порт 80.
Атаките на приложния слой не могат да бъдат напълно изключени. Хакерите непрекъснато откриват и публикуват нови уязвимости в приложните програми в Интернет. Най-важното тук е добрата системна администрация. Ето някои стъпки, които можете да предприемете, за да намалите уязвимостта си към този тип атаки:
- четене на регистрационни файлове на операционната система и мрежови регистрационни файлове и/или ги анализирайте с помощта на специални аналитични приложения;
- Абонирайте се за услугата за разпространение на слабости на приложения: Bugtrad (http://www.securityfocus.com).
Мрежово разузнаване
Мрежовото разузнаване е събирането на информация за мрежа, използвайки публично достъпни данни и приложения. Когато подготвя атака срещу мрежа, хакерът по правило се опитва да получи възможно най-много информация за нея. Разузнаването на мрежата се извършва във формата DNS заявки, ping и сканиране на портове.
DNS заявките ви помагат да разберете кой притежава конкретен домейн и какви адреси са присвоени на този домейн. Пипинг адреси, разкрити от използвайки DNS, ви позволява да видите кои хостове действително работят в дадена среда. След като получи списък с хостове, хакерът използва инструменти за сканиране на портове, за да състави пълен списък с услуги, поддържани от тези хостове. Накрая хакерът анализира характеристиките на приложенията, работещи на хостовете. В резултат на това той извлича информация, която може да се използва за хакване.
Невъзможно е напълно да се отървете от мрежовата интелигентност. Ако например деактивирате ICMP ехо и ехо отговор на периферни рутери, ще се отървете от пинговете, но ще загубите данните, необходими за диагностициране на мрежови грешки.
Освен това можете да сканирате портове, без първо да пингувате – просто отнема повече време, тъй като ще трябва да сканирате и несъществуващи IP адреси. IDS системите на ниво мрежа и хост обикновено вършат добра работа, като уведомяват администратора за текущо мрежово разузнаване, което ви позволява да се подготвите по-добре за предстояща атака и да предупредите ISP, в чиято мрежа системата проявява прекомерно любопитство:
- използвайте най-новите версии на операционни системи и приложения и най-новите модули за корекция (пачове);
- В допълнение към системното администриране, използвайте системи за откриване на атаки (IDS) - две допълващи се ID технологии:
- Мрежови IDS (NIDS) следи всички пакети, преминаващи през конкретен домейн. Когато системата NIDS види пакет или серия от пакети, които съответстват на подписа на известна или вероятна атака, тя генерира аларма и/или прекратява сесията;
- IDS (HIDS) защитава хоста със софтуерни агенти. Тази система се бори само с атаки срещу един хост.
IDS работят с помощта на сигнатури за атака, които са профили на специфични атаки или типове атаки. Подписите определят условията, при които трафикът се счита за хакерски. Аналозите на IDS във физическия свят могат да се считат за система за предупреждение или камера за наблюдение.
Повечето голям недостатък IDS е тяхната способност да генерират аларми. Необходима е внимателна конфигурация, за да се сведат до минимум фалшивите аларми и да се гарантира правилното функциониране на системата IDS в мрежата.
Злоупотреба с доверие
Строго погледнато, този вид действие не е в пълния смисъл на думата нападение или нападение. Това е злонамерено използване на отношения на доверие, които съществуват в мрежата. Класически пример за такава злоупотреба е ситуацията на ръба на корпоративната мрежа.
Този сегмент често е домакин на DNS, SMTP и HTTP сървъри. Тъй като всички те принадлежат към един и същи сегмент, хакването на всеки от тях води до хакване на всички останали, тъй като тези сървъри се доверяват на други системи в тяхната мрежа.
Друг пример е система, инсталирана от външната страна на защитна стена, която има връзка на доверие със система, инсталирана отвътре. Ако външна система е компрометирана, хакерът може да използва връзката на доверие, за да проникне в системата, защитена от защитната стена.
Рискът от нарушаване на доверието може да бъде смекчен чрез по-строг контрол на нивата на доверие във вашата мрежа. Системите извън защитната стена не трябва при никакви обстоятелства да бъдат напълно доверени от системите, защитени от защитната стена.
Отношенията на доверие трябва да бъдат ограничени до определени протоколи и, ако е възможно, да бъдат удостоверени не само с IP адреси, но и с други параметри.
Пренасочване на портове
Пренасочването на портове е форма на злоупотреба с доверие, при която компрометиран хост се използва за преминаване на трафик през защитната стена, която е в противен случайопределено ще бъде отхвърлен. Представете си защитна стена с три интерфейса, всеки от които има специфичен хост, свързан към него.
Външният хост може да се свърже със споделения хост (DMZ), но не и към този, инсталиран от вътрешната страна на защитната стена. Споделеният хост може да се свързва както с вътрешен, така и с външен хост. Ако хакер поеме споделен хост, той може да инсталира софтуер на него, който пренасочва трафика от външния хост директно към вътрешния хост.
Въпреки че това не нарушава никакви правила, действащи на екрана, външният хост в резултат на пренасочването получава директен достъп до защитения хост. Пример за приложение, което може да осигури този достъп, е netcat. Повече информация можете да намерите на http://www.avian.org.
Основният начин за справяне с пренасочването на портове е използването на модели на силно доверие (вижте предишния раздел). В допълнение, IDS хост система (HIDS) може да попречи на хакер да инсталира своя софтуер на хост.
Неоторизиран достъп
Неоторизираният достъп не може да бъде категоризиран като отделен тип атака, тъй като повечето мрежови атаки се извършват именно за получаване на неоторизиран достъп. За да получи логин за Telnet, хакерът трябва първо да получи подкана за Telnet в своята система. След свързване към порта Telnet, съобщението "изисква се упълномощаване за използване на този ресурс" (" Изисква се разрешение за използване на този ресурс.»).
Ако след това хакерът продължи да се опитва да получи достъп, той ще се счита за неоторизиран. Източникът на такива атаки може да бъде локализиран както вътре в мрежата, така и извън нея.
Начините за борба с неоторизиран достъп са доста прости. Основното тук е да намалите или напълно да премахнете способността на хакера да получи достъп до системата с помощта на неоторизиран протокол.
Като пример, помислете за предотвратяване на достъп на хакери до Telnet порта на сървър, който предоставя уеб услуги на външни потребители. Без достъп до този порт, хакерът не може да го атакува. Що се отнася до защитната стена, основната й задача е да предотврати най-простите опити за неоторизиран достъп.
Вируси и приложения за троянски кон
Работните станции за крайни потребители са силно уязвими към вируси и троянски коне. Вирусите са злонамерени програми, които са вградени в други програми, за да изпълняват определена нежелана функция на работна станциякраен потребител. Пример е вирус, който се регистрира във файла command.com (основния интерпретатор на Windows) и изтрива други файлове и заразява всички други версии на command.com, които намери.
Троянският кон не е плъгин, а истинска програма, която на пръв поглед изглежда полезно приложение, но всъщност играе вредна роля. Пример за типичен троянски кон е програма, която изглежда като проста игра за работната станция на потребителя.
Въпреки това, докато потребителят играе играта, програмата изпраща свое копие по имейл на всеки абонат, вписан в адресната книга на този потребител. Всички абонати получават играта по пощата, което води до по-нататъшното й разпространение.
Борбата с вируси и троянски коне се осъществява с ефективен антивирусен софтуер, работещ на потребителско ниво и евентуално на мрежово ниво. Антивирусните инструменти откриват и спират повечето вируси и троянски коне.
Получаването на най-новата информация за вирусите ще ви помогне да се борите с тях по-ефективно. Тъй като се появяват нови вируси и троянски коне, предприятията трябва да инсталират нови версии на антивирусни инструменти и приложения.
При писане на статията материалите, предоставени от от CiscoСистеми.
Добро Лошо
¾ програми са включени външни медиипамет
¾ RAM
¾ зони за компютърна система
¾ компютърен хардуер
37. Основното средство за антивирусна защита е...
¾ периодична проверка на списъка с автоматично заредени програми
¾ използване на защитни стени при работа в интернет
¾ периодични проверки на вашия компютър с помощта на антивирусен софтуер
¾ периодична проверка на списъка със заредени програми
38. Електронни цифров подписпозволява...
¾ препращайте съобщения по таен канал
¾ възстановяване на повредени съобщения ения
¾ уверете се, че подателят и целостта на съобщението
¾ криптирайте съобщението, за да го запазите в тайна
39. Абсолютната защита на вашия компютър от мрежови атаки е възможна, когато...
¾ използване на най-новите антивирусни инструменти
¾ използване на лицензиран софтуер
¾ инсталиране на защитна стена
¾ няма връзка
40. Най-опасната част от гледна точка на вирусната активност електронна пощае…
¾ приставка
¾ заглавие
41. Умишлена заплахаинформационната сигурност е...
¾ повреда на кабела, през който се осъществява предаването, поради метеорологични условия
¾ администраторска грешка
¾ наводнение
42. Регистрирането на потребителски действия позволява...
¾ да реконструира хода на събитията при прилагането на заплахи за информационната сигурност
¾ гарантиране на поверителността на информацията
¾ разрешаване на проблеми с контрола на достъпа
43. Антивирусният пакет НЕ е...
¾ Антивирус на Касперски
¾ Symantec AntiVirus
¾ Norton AntiVirus
¾ Microsoft AntiVirus
44. Мрежовите червеи са...
¾ програми, които променят файлове на дискове и се разпространяват в рамките на компютъра
¾ програми, които не променят файлове на дискове, но се разпространяват в компютърна мрежа, проникват в операционната система на компютъра, намират адресите на други компютри или потребители и изпращат свои копия на тези адреси
¾ програми, разпространявани само чрез електронна поща през Интернет
¾ Зловредни програми, чието действие е да създават неизправности, когато компютърът се захранва от електронна поща. мрежата
45. Към средствата за осигуряване компютърна сигурностНЕ прилагайте...
¾ Програма AntiViral Toolking Pro (AVP).
¾ специални системина базата на криптография
¾ електронни таблици
¾ WinZip и WinRar програми
46. Компютърни вируси- това е…
¾ зловреден софтуер, който възниква поради повреди в хардуера на компютъра
¾ програми, които са написани от хакери специално, за да навредят на потребителя
¾ програми, които са резултат от грешки в операционната система
¾ вируси, подобни по природа на биологичните вируси
47. Отличителни черти на компютърния вирус са
¾ значително количество програмен код
¾ възможността за самостоятелно стартиране и копиране на кода няколко пъти
¾ способност за намеса правилна работакомпютър
¾ лекота на разпознаване
48. Включени техники за компютърна сигурност (посочете грешен отговор)
¾ легален
¾ организационни и технически
¾ политически
¾ икономически
49. Отрицателните последици от развитието на съвременните информационни технологии включват...
¾ формиране на единно информационно пространство
¾ работата с информация става основно съдържание на професионалната дейност
¾ широко използване на информационните технологии във всички сфери на човешката дейност
¾ достъпност на личната информация за обществото, нахлуването на информационните технологии в личния живот на хората
50. Осигуряването на защита на информацията се извършва от дизайнери и разработчици на софтуер в следните направления (посочете грешен отговор)
¾ защита срещу повреди на оборудването
¾ защита срещу случайна загуба на информация
¾ защита срещу умишлено изкривяване на информацията
¾ разработване на правна рамка за борба с престъпленията в областта на информационните технологии
¾ защита срещу неоторизиран достъп до информация
51. Развит пазар на информационни продукти и услуги, промени в структурата на икономиката, масово използване на информация и комуникационни технологииса знаци:
¾ най-високата степен на развитие на цивилизацията
¾ информационна криза
¾ информационно общество
¾ информационна зависимост
52. Какво не се отнася за обекти за информационна сигурност Руска федерация?
¾ природни и енергийни ресурси
¾ информационни ресурси от всякакъв вид
¾ информационни системи от различни класове и предназначения, информационни технологии
¾ система за формиране на общественото съзнание
¾ правата на гражданите, юридическите лица и държавата да получават, разпространяват, използват и защитават информация и интелектуална собственост
53. За написване на самостоятелна работа, вие сте копирали от Интернет пълен текстнормативен правен акт. Нарушихте ли авторските права с това?
¾ не, тъй като разпоредбите не са обект на авторско право
¾ не, ако има разрешение от собственика на сайта
54. Възможно ли е да се използват статии от различни списания и вестници за политически, икономически, религиозни или социални темида подготвите учебни материали, като ги използвате?
¾ да, след получаване на съгласието на притежателите на авторски права
¾ да, като се посочват източниците на заемане
¾ да, без да се иска съгласието на носителите на авторските права, но със задължителното посочване на източника на заемане и имената на авторите
55. Статия публикувана в Интернет счита ли се за авторско право?
¾ не, ако статията е публикувана за първи път в Интернет
¾ да, при условие че същата статия е публикувана в печат в рамките на 1 година
¾ да, тъй като всяка статия е обект на авторско право като научно или литературно произведение
56. В какви случаи авторските права няма да бъдат нарушени при споделяне на вашите компютърни игри с други хора?
¾ ако копия на тези компютърни игри са публикувани и въведени в гражданско обращение със съгласието на автора
¾ ако собствениците на разменените копия на компютърни игри са ги закупили по силата на споразумение за продажба/замяна
¾ ако в същото време са изпълнени условията, посочени в предходните параграфи
¾ ако се разпределят под наем
57. Основните действия (фази), извършвани от компютърен вирус:
¾ инфекция
¾ блокиращи програми
¾ проявление
¾ възпроизвеждане
¾ маскировка
58. Антивирусните програми не включват:
¾ преводачи
¾ одитори
¾ пазач
¾ ваксини
59. Назначаване антивирусен софтуердетектори:
¾ откриване и унищожаване на вируси
¾ откриване на вируси
¾ дезинфекция на заразени файлове
¾ унищожаване на заразени файлове
¾ дезинфекция на заразени файлове
¾ контрол на начините за разпространение на вируси
60. Недостатъците на антивирусните инструменти включват:
¾ невъзможност за лечение на "подозрителни" обекти
¾ разнообразие от настройки
¾ автоматична проверкавсички отворени файлове
¾ необходимост постоянно обновяваневирусни бази данни
61. Антивирусният пакет е:
¾ Антивирус на Касперски
¾ Symantec AntiVirus
¾ Norton AntiVirus
¾ Microsoft AntiVirus
62. Необходимият минимум от средства за защита срещу вируси включва:
¾ атестация на помещения
¾ контрол за излизане
¾ входящ контрол
¾ архивиране
¾ превенция
63. Криптографската трансформация на информация е:
¾ въвеждане на система за пароли
¾ криптиране на данни
¾ ограничаване на достъпа до информация
¾ архивиранеинформация
64. Най-ефективните средства за защита срещу мрежови атаки:
¾ използване на защитни стени или FireWall
¾ посещение само на надеждни интернет сайтове
¾ използване на антивирусен софтуер
¾ използване само на сертифицирани браузъри при достъп до Интернет
65. FireWall е:
¾ програма за поща
¾ същото като интернет браузъра
¾ същото като защитната стена
¾ графичен редактор
66. Регистрирането на потребителски действия позволява:
¾ гарантиране на конфиденциалност
¾ управлява достъпа до информация
¾ да се реконструират събития при изпълнение на заплахи за информационната сигурност
¾ възстановяване на загубена информация
67. Мрежовият одит включва:
¾ антивирусно мрежово сканиране
¾ селективен одит на потребителите
¾ одит на сигурността на всяка нова система по време на инсталирането й в мрежата
¾ регистриране на действията на всички потребители в мрежата
68. Слой със защитени гнезда:
¾ не използва криптиране на данни
¾ Осигурява сигурен трансфер на данни
¾ не може да използва криптиране с публичен ключ
¾ това не е протокол, програма
69. Най-ефективното средство за защита срещу мрежови атаки е...
¾ Използване на защитни стени или защитна стена;
¾ Посещение само на "надеждни" интернет сайтове;
¾ Използване на антивирусни програми;
¾ Използвайте само сертифициран софтуер за браузър при достъп до Интернет.
70. Обикновено се използва компресирано изображение на изходния текст ...
¾ Като ключ за криптиране на текст;
¾ За създаване цифров подпис;
¾ Като публичен ключ в симетричните алгоритми;
¾ В резултат на криптиране на текста, за да го изпратите по незащитен канал.
71. От горното: 1) пароли за достъп, 2) дескриптори, 3) криптиране, 4) хеширане, 5) установяване на права за достъп, 6) забрана на печат,
средствата за компютърна защита на информацията включват:
72. Не може да се случи заразяване с компютърен вирус
¾ При отваряне на файл, прикачен към пощата;
¾ При включване и изключване на компютъра;
¾ При копиране на файлове;
¾ Когато стартирате програмния файл за изпълнение.
73. Електронният цифров подпис на документ ви позволява да разрешите проблема с ______________ документ(и)
¾ Режим на достъп
¾ Стойности
¾ Автентичност
¾ Секретност
74. Резултатът от прилагането на заплахи за информационната сигурност може да бъде
¾ Унищожаване на I/O устройства
¾ Промяна на конфигурацията периферни устройства
¾ Разрушаване на комуникационните канали
¾ Инжектиране на дезинформация
75. Електронният цифров подпис установява _____ информация
¾ Консистенция
¾ Автентичност
¾ Непоследователност
76. Софтуерните средства за защита на информацията в компютърна мрежа са:
1) Firewall, 2) Brandmauer, 3) Sniffer, 4) Backup.
77. За безопасното използване на ресурсите в Интернет, протоколът е предназначен ...
Глава 5. Защита срещу мрежови атаки
Информационната сигурност на компютърните мрежи и отделните компютри се постига чрез провеждане на единна политика от защитни мерки, както и система от правни, организационни и инженерно-технически мерки.
При разработване на необходимото ниво на защита на информацията в мрежата, взаимната отговорност на персонала и ръководството, зачитането на интересите на индивида и предприятието, взаимодействието с правоприлагане... Осигуряването на сигурността на информацията се постига чрез правни, организационни, административни и инженерно-технически мерки.
Защитата на корпоративни мрежи е различна от защитата на компютрите на домашните потребители (въпреки че защитата на отделни работни станции е неразделна част от защитата на мрежите). И на първо място, защото този въпрос се решава (по-точно трябва) компетентни специалисти по компютърна сигурност. В допълнение, основата на корпоративната мрежова сигурност е да се постигне компромис между потребителското изживяване за крайните потребители и изискванията на техника.
Една компютърна система може да се разглежда от две гледни точки: да се виждат в нея само потребители на работни станции и може да се вземе предвид само функционирането на мрежова операционна система. Възможно е също така да се разглежда компютърната мрежа като набор от пакети с информация, преминаваща през проводниците.
Има няколко нива на мрежово представяне. Можете да подходите към проблема с мрежовата сигурност по същия начин - на различни нива... Съответно методите за защита ще бъдат различни за всяко ниво. Колкото повече нива са защитени, толкова по-надеждно е защитена системата като цяло.
Първият, най-очевидният и най-труден на практика, е обучението на персонала в поведението, което затруднява мрежовата атака. Това изобщо не е толкова лесно, колкото изглежда на пръв поглед. Необходимо е да се наложат ограничения върху използването на Интернет и потребителите често нямат представа на какво се дължат тези ограничения (те нямат такава квалификация), поради което се опитват по всякакъв начин да нарушат съществуващите забрани. Освен това забраните трябва да бъдат ясно формулирани. Например съветът да не използвате клиентски приложения с недостатъчно защитен протокол е малко вероятно да бъде разбран от обикновения потребител, но съветът да не се изпълнява на вашия ICQ компютърпочти сигурно ще разбере и ще протестира много бурно. Неслучайно казват, че ICQ е цвете на гроба на работното време.
Комплексът от мерки за информационна сигурност трябва да се основава на стратегия за защита на информацията. Той определя целите, критериите, принципите и процедурите, необходими за изграждане надеждна системазащита. Добре разработената стратегия трябва да отразява повече от степента на защита, намирането на дупки, къде са инсталирани защитни стени или прокси сървъри и т.н. Тя също така трябва ясно да дефинира процедурите и как да ги прилага, за да гарантира надеждна защита.
Най-важната характеристика на общата стратегия за защита на информацията е изучаването на системата за сигурност. Могат да се разграничат две основни области:
- анализ на защитните средства;
- установяване на факта на инвазия.
Стратегията за информационна сигурност и архитектурата на системата за информационна сигурност са разработени на базата на концепцията за информационна сигурност. Следващият етап от обобщения подход за осигуряване на сигурността е да се определи политика, чието съдържание е най-рационалните средства и ресурси, подходи и цели на разглеждания проблем.
Препоръчително е да се разработи концепция за защита на три етапа. На първия етап трябва ясно да се дефинира целевата настройка на защитата, тоест какви реални стойности, производствени процеси, програми, масиви от данни трябва да бъдат защитени. На този етап е препоръчително да се разграничат според важността на отделните обекти, изискващи защита.
На втория етап следва да се извърши анализ на престъпните деяния, които биха могли да бъдат извършени спрямо защитения обект. Важно е да се определи степента на реална опасност от такива широко разпространени престъпления като икономически шпионаж, тероризъм, саботаж и кражба с взлом. След това трябва да анализирате най-вероятните действия на нападателите по отношение на основните обекти, нуждаещи се от защита.
Основната задача на третия етап е да се анализира ситуацията, включително специфични местни условия, производствени процеси и съществуващи технически средства за защита.
Концепцията за защита трябва да съдържа списък с организационни, технически и други мерки, които осигуряват възможно най-високо ниво на безопасност за даден остатъчен риск и минимални разходиза тяхното изпълнение.
Политиката за защита е общ документкойто изброява правилата за достъп, дефинира как се прилага политиката и описва основната архитектура на средата за сигурност. Сам по себе си този документ обикновено се състои от няколко страници текст. Той формира основата физическа архитектурамрежа, а информацията, която съдържа, определя избора на продукти за защита. В същото време документът може да не включва пълен списък с необходимите покупки, но изборът на конкретни компоненти след съставянето му трябва да е очевиден.
Политиката за сигурност далеч надхвърля простата идея за „държане на натрапниците навън“. Това е много сложен документкойто определя достъпа до данни, „естеството на сърфиране в WWW, използването на пароли или криптиране, отношението към имейл прикачените файлове, използването на Java и ActiveX и много други. Той подробно описва тези правила за отделни лица или групи. Не трябва да забравяме и за елементарната физическа защита – ако някой може да влезе в сървърната стая и да получи достъп до основния файлов сървър или да излезе от офиса с резервни дискети и дискове в джоба си, тогава всички други мерки стават напълно безсмислени и глупави.
Разбира се, политиката не трябва да позволява на външни лица да влизат в мрежата, но също така трябва да установи контрол върху потенциално безскрупулните и неизпълнителни служители на вашата организация. Мотото на всеки администратор по сигурността е „Не се доверявайте на никого!“.
Първата стъпка в разработването на политика е да се реши каква информация и услуги трябва да бъдат достъпни за кои потребители, каква е вероятността от вреда и каква защита вече е налице. Освен това политиката за сигурност трябва да диктува йерархията на правата за достъп, тоест на потребителите трябва да бъде предоставен достъп само до информацията, която наистина им е необходима, за да вършат работата си.
Политиката за сигурност трябва задължително да отразява следното:
- контрол на достъпа (забрана за достъп на потребителя до материали, които той няма право да използва);
- идентификация и удостоверяване (използване на пароли или други механизми за проверка на състоянието на потребител);
- счетоводство (запис на всички действия на потребителя в мрежата);
- регистър на одита (регистрационният файл ви позволява да определите кога и къде е настъпило нарушение на сигурността);
- точност (защита от всякакви случайни нарушения);
- надеждност (предотвратяване на монополизиране на системните ресурси от един потребител);
- обмен на данни (защита на всички комуникации).
Достъпът се определя от политиката на защитната стена: достъпът до системни ресурси и данни от мрежата може да бъде описан на ниво операционна система и, ако е необходимо, допълнен със софтуер за сигурност на трети страни. Паролите могат да бъдат най-ценната част от вашата среда за сигурност, но ако бъдат използвани неправилно или неправилно, те могат да се превърнат в ключ към вашата мрежа. политика правилна употребаПаролите са особено полезни при управление на бюджети за време, така че някой да не използва валидна парола, след като временните работници или изпълнители са свършили работата.
Някои операционни системи също предлагат квалификации, тоест въвеждат минимално нивотрудност на паролите. В тези системи администраторът по сигурността може просто да зададе правилото „Да не се използват лесно познати пароли“. Например, системата няма да приеме парола, съдържаща само името и възрастта на потребителя. Крайните потребители обикновено, въпреки всички предупреждения, избират най-много прости начини... Ако и те трябва да се справят Голям бройпароли, те ще използват една и съща парола или ще задават лесни за запомняне пароли, или по-лошо, ще ги запишат на лист хартия и ще ги съхраняват в чекмедже на бюрото или дори ще залепят парче парола на монитора.
Изобилие от защитни устройства, защитни стени, шлюзове и VPN (виртуална частна мрежа), както и нарастващото търсене на достъп до корпоративни данни от служители, партньори и клиенти, създава сложна среда за сигурност, която е трудна за управление. Правилата за много от изброените устройства често трябва да се задават отделно.
Тъй като големите корпорации продължават да се сливат и поемат по-малки компании, отбранителната среда (и мрежата като цяло) става все по-случайна и наслоена. Когато това се случи, правилата стават изключително трудни за управление.
Защитните стени (както хардуерни, така и софтуерни) ви позволяват да определите кой има право на достъп до вашата мрежа отвън. Всички защитни стени налагат определени правила; разликата е в нивото на детайлност и лекотата на използване, осигурени от интерфейса за управление. В идеалния случай защитната стена може да направи три неща:
- задайте правила от интуитивен графичен интерфейс;
- контрол на достъпа до ниво на отделни файлове и обекти;
- групиране на файлове и обекти за колективно прилагане на правила към тях с цел опростяване на управлението.
На мрежово ниво правилата могат да се използват за управление на защитата по няколко начина. Един от най-често срещаните начини е чрез адресиране, когато потребителите са присвоени към конкретна вътрешна подмрежа, за да ограничат тяхното ниво на достъп. Филтрирането на пакети ви позволява да предавате или блокирате пакети в момента, в който преминават някои граници, в зависимост от адреса на подателя или получателя.
Системите за защита работят на ниво приложение; в този случай системите или приложенията, към които са адресирани пакетите, искат от потребителя парола, проверяват я и след това предоставят достъп съгласно предварително определени правила.
Така че, както вече разбрахте, основата на всяка защита е системният подход. За да изградите наистина ефективна защита, трябва да помислите внимателно за това. За всеки компютър, който „гледа“ в мрежата, три неща са критични:
- защитна стена;
- антивирусна;
- критични актуализации за вашата операционна система.
Това важи както за домашен компютър, така и за тези, свързани към корпоративна мрежа. Нека разгледаме по-отблизо всяка една от тези точки.
5.1. защитна стена
Защитната стена е средство за защита срещу проникване отвън и срещу някои видове хакване отвътре. Защитната стена е комбинация от хардуер и софтуер, използвани за защита на мрежата от натрапници. Използвайки защитни стени, можете значително да подобрите сигурността на вашата работа локална мрежа.
В литературата за защитна стена често ще срещнете термина bastion host. Името "бастион" идва от средновековна дума, описваща стените на замъка. Бастионът е специално укрепено място в стените на замъка, предназначено да отблъсква атаки. Бастионният компютър е компютър, който е специално настроен за защита срещу мрежови атаки.
Мрежовите дизайнери използват бастионните компютри като първа линия на защита. Бастионният компютър е своеобразен „демпфер“ за всички комуникации между мрежата и интернет. С други думи, нито един компютър в мрежата не може да има достъп до Интернет, освен през бастионния компютър, и, от друга страна, никой външен (по отношение на мрежата) потребител не може да има достъп до мрежата, без да премине през бастионния компютър.
Чрез използване на централен достъп до мрежата през един компютър е по-лесно да се защити мрежата. Освен това, предоставяйки достъп до Интернет само на един компютър в мрежата, разработчикът улеснява избора на правилния софтуер за защита на мрежата. Повечето среди на Unix, включително Linux, са много подходящи за използване на бастионен компютър. В Unix среда можете да инсталирате бастионен компютър за цената на работна станция или машина от сървърен клас, тъй като операционната система вече има възможността да поддържа и конфигурира IP защитна стена. По този начин можете да спестите пари за инсталиране на рутер за защитна стена (тоест, да не купувате допълнително мрежово оборудване, което може да ви струва няколко хиляди долара). Освен това с Unix можете свободно да конфигурирате и преглеждате мрежовия трафик.
Повечето компании предоставят на своите служители достъп до Интернет. Ако служителите получат достъп до интернет, тогава компанията трябва да се увери, че връзката с интернет се осъществява чрез brandmaz'er. В началото на тази глава беше казано, че защитната стена е комбинация от хардуер и софтуер за осигуряване на връзката на две или повече мрежи. Защитната стена предоставя възможност за централизирано управление на сигурността на мрежата. Обикновено се изгражда на базата на така наречения бастионен компютър.
В допълнение към традиционния хардуер и софтуер за защитна стена, за по-голяма сигурност можете да използвате екраниращ рутер, който е хардуер и софтуер, който филтрира пакети данни въз основа на критерии, зададени от администратора. Можете да създадете PC-базиран или Unix-базиран екраниращ рутер.
Първият слой на защита срещу проникване във взаимосвързани мрежи е екраниращ рутер, който извършва филтриране на пакети в слоевете на мрежата и връзката за данни, независимо от слоя на приложението. Следователно екраниращият рутер ви позволява да контролирате движението на данни в мрежата, без да променяте клиентските или сървърните приложения.
Въпреки че този рутер е сравнително евтин и лесен за използване, той не осигурява достатъчно ниво на защита. Основното му предимство е, че работи изключително на мрежовите и транспортните слоеве на модела ISO / OSI.
Това обаче е нож с две остриета. За да защити наистина мрежата от нежелано външно проникване, защитната стена трябва да защитава всеки слой от TCP/IP протокола. Основният недостатък на екраниращите рутери е, че те филтрират данни въз основа на недостатъчни данни. Ограниченията върху слоевете на мрежата и връзката позволяват достъп само до IP адреси, номера на портове и TCP флагове. Поради липсата на контекстна информация рутерите могат да имат проблеми с филтрирането с протоколи като UDP.
Администраторите, които работят с екраниращи рутери, трябва да помнят, че повечето устройства за филтриране на пакети, включително екраниращи рутери, нямат механизми за одит и аларма. С други думи, рутерите могат да бъдат атакувани и отблъснати от голям брой от тях, без администраторите дори да са наясно с това. Следователно администраторите трябва допълнително да използват други технологии за филтриране на пакети във връзка със защитни стени за защита на мрежите.
Тъй като защитните стени предоставят възможности за филтриране на данни горни нива ISO / OSI моделът, не само мрежа и връзка за данни, пълната информация за слоя на приложението може да се използва за критерии за избор. В същото време филтрирането ще се извършва както на мрежовия, така и на транспортния слой. Тук защитната стена проверява IP и TCP заглавките на пакетите, преминаващи през нея. По този начин защитната стена отпада или позволява пакети въз основа на предварително дефинирани правила за филтриране.
Както беше посочено, защитната стена контролира взаимен достъпмрежи един към друг. Обикновено между локалната мрежа и интернет се инсталира защитна стена. Той не позволява на потребителите от цял свят да влизат частна мрежаи контролира достъпа до съхраняваните в него данни. Важно е обаче да запомните, че защитната стена не е отделен хардуер или софтуер, който прави всичко вместо вас (въпреки всички гаранции на доставчиците). Той просто предоставя обширни възможности за максимална защита на мрежата от неоторизирана намеса, като същевременно не създава особени неудобства за регистрираните потребители на мрежата. За да създадете възможно най-добрата защитна стена, просто трябва физически да изключите мрежата си от интернет.
Както вече знаете, всички мрежови комуникации изискват физическа връзка... Ако мрежата не е свързана с интернет, нейните потребители никога няма да могат да проникнат или атакуват локалната мрежа. Например, ако една компания се нуждае само от вътрешна мрежа, която осигурява достъп до база данни за продажби и не е необходимо да се прониква отвън, компютърната мрежа може да бъде физически изолирана от останалия свят.
Необходимостта от защитна стена възниква, когато една компания иска да свърже своята локална мрежа с останалия свят чрез интернет.
За да отговорим на изискванията на широк кръг потребители, има три типа защитни стени: мрежов слой, приложен слой и слой на схемата. Всеки от тези три типа използва различен подход към защитата на мрежата. Помислете за всеки тип поотделно. Вашето решение трябва да вземе предвид вида и степента на защита, необходими за мрежата, и това е, което определя необходимия дизайн на защитната стена. Не забравяйте, че повечето защитни стени поддържат едно или повече нива на криптиране. Шифроването е начин за защита на предаваната информация от прихващане. Много защитни стени, които предоставят възможности за криптиране, защитават данните, напускащи мрежата, като ги криптират автоматично, преди да пътуват до Интернет. Освен това те автоматично дешифрират входящите данни, преди да ги изпратят в локалната мрежа. С помощта на функциите за криптиране, предоставени от защитните стени, можете да изпращате данни по интернет до отдалечени потребители, без да се притеснявате, че някой случайно ще ги прихване и прочете.
Защитната стена на мрежовия слой е екраниращ рутер или специален компютър, който проверява адресите на пакетите, за да определи дали на пакет е разрешено да влезе в локалната мрежа. Както бе споменато по-рано, пакетите съдържат IP адресите на източника и дестинацията, както и много друга информация, която защитната стена използва, за да контролира достъпа до пакета.
Например, можете да конфигурирате защитната стена или рутера на мрежовия си слой да блокира всички съобщения от сайт на конкретен конкурент и всички съобщения, изпратени до сървъра на конкурент от вашата мрежа. Обикновено екраниращият рутер е конфигуриран да блокира определени пакети чрез използване на файл, който съдържа IP адресите на сайтовете (дестинациите), чиито пакети трябва да бъдат блокирани. Когато екраниращ рутер срещне пакет, съдържащ адрес, дефиниран в този файл, той пуска пакета и му пречи да влезе или напусне локалната мрежа. Мрежовите дизайнери често наричат този метод метод на черния списък. Повечето софтуери за екраниращи рутери ви позволяват да поставяте в черен списък (блокирате) съобщения от външни сайтове (с други думи, външни мрежи), но не и от конкретни потребители или компютри във вашата мрежа.
Не забравяйте, че пакетът, пристигащ в екраниращия рутер, може да съдържа произволно количество информация, като имейл съобщение, Telnet заявка за влизане (заявка от отдалечен потребител за достъп до вашия компютър). В зависимост от начина, по който съставяте своя защитен файл на рутера, рутерът на мрежовия слой ще ви осигури различни функцииза всеки вид заявка. Например, можете да програмирате вашия рутер, така че интернет потребителите да могат да виждат вашата уеб страница, но не могат да използват FTP за изпращане на файлове към или от вашия сървър. Или можете да програмирате рутера си да позволява на интернет потребителите да изтеглят файлове от вашия сървър на техните сървъри, но да не позволявате файлове от техните сървъри да се изтеглят на вашите. Обикновено екраниращият рутер е програмиран така, че да разглежда следната информация, за да реши дали да предаде пакет през него:
- адрес на източника на пакети;
- адреса на местоназначението на пакета;
- вида на протокола на сесията за данни (например TCP, UDP или ICMP);
- порт на източника и порт на приложението дестинация за заявената услуга;
- дали пакетът е заявка за връзка. Ако сте инсталирали и конфигурирали правилно защитната стена на мрежовия слой, нейната работа ще бъде доста бърза и почти невидима за потребителите. Разбира се, за тези в черния списък това изобщо няма да е така.
Защитната стена на приложния слой обикновено е персонален компютър, който използва софтуер за прокси сървър. Поради това често се нарича прокси сървър. Името "прокси сървър" идва от думата "прокси" - прокси, посредник.
Сървърите за посредничество осигуряват комуникация между потребителите на локалната мрежа и сървърите на прикачената (външна) мрежа. С други думи, сървърът за посредничество контролира трансфера на данни между двете мрежи. В някои случаи може да управлява всички съобщения на няколко потребители на мрежата. Например, мрежов потребител, който има достъп до Интернет чрез междинен сървър, ще се появи на останалите компютри в Интернет като междинен сървър (с други думи, потребителят използва TCP адреса на междинния сървър).
В мрежата посреднически сървър може да осигури достъп до определен класифицирана информация(например секретна база данни), без да се предава (в обикновен текст) паролата на клиента. Когато използвате защитна стена на мрежовия слой, вашата локална мрежа не е свързана с интернет. Освен това потокът от данни, който пътува през една мрежа, никога не пречи на потока от данни, който пътува през друга мрежа, тъй като мрежовите кабели на тези мрежи не са свързани един с друг. Сървърът за посредничество предава отделно копие за всеки пакет, идващ от една мрежа в друга, независимо дали пакетът съдържа входящи или изходящи данни. Защитната стена на приложния слой ефективно маскира произхода на заявката за връзка и защитава вашата мрежа от интернет потребители, които могат да се опитат да получат информация за вашата частна мрежа.
Тъй като сървърът за посредничество разпознава мрежови протоколи, можете да го програмирате по такъв начин, че да следи коя услуга ви е необходима. Например, прокси сървър може да бъде конфигуриран да позволява на клиентите да изтеглят чрез ftp файлове от вашия сървър, но да не позволява изтегляне на ftp файлове на вашия сървър.
Сървърите за посредничество предоставят много функции за достъп като HTTP, Telnet, FTP. За разлика от рутера, трябва да настроите различни сървъри за посредничество за различни мрежови услуги. Най-популярните прокси сървъри за Unix и Linux базирани мрежи са TIS Internet Firewall Toolkit и SOCKS. За повече информация относно посредническия сървър на TIS Internet Firewall Toolkit, посетете уеб сайта на адрес http://www.tis.com/docs/products/fivtk/index.html.
Ако използвате сървър, базиран на Windows NT, сървърът за посредничество се поддържа като Интернет на MicrosoftИнформационен сървър и Netscape Commerce Server. След като инсталирате сървъра за посредничество на ниво приложение, потребителите във вашата мрежа трябва да използват клиентски софтуер, който поддържа сървъра за посредничество.
Мрежовите дизайнери са създали много TCP/IP протоколи, включително HTTP, FTP и други, които поддържат прокси сървър. В повечето уеб браузъри потребителите могат лесно да ги конфигурират да поддържат сървъра за посредничество, като използват софтуерните предпочитания на браузъра. За съжаление, останалите интернет протоколи не са в състояние да поддържат прокси сървъри. В такива случаи трябва да изберете интернет приложение въз основа на това дали то е съвместимо или не със стандартните междинни протоколи. Например приложенията, които поддържат прокси протокола SOCKS, са добър избор, ако цялата ви мрежа е базирана на SOCKS.
Когато инсталирате защитна стена на ниво приложение, трябва също да прецените дали потребителите на вашата мрежа ще използват клиентски софтуер, който поддържа брокерски услуги. Защитната стена на слоя на приложенията предоставя възможност за лесно проследяване на видовете и количествата прехвърляния на данни на вашия сайт. Тъй като защитните стени на приложния слой установяват определено физическо разделение между локалната мрежа и интернет, те отговарят на най-високите изисквания за сигурност. Въпреки това, тъй като програмата трябва да анализира пакети и да взема решения за контрол на достъпа, защитните стени на приложния слой неизбежно намаляват производителността на мрежата. С други думи, те са значително по-бавни от защитните стени на мрежовия слой.
Ако решите да използвате защитна стена на ниво приложение, трябва да използвате по-бърз компютър като прокси сървър.
Защитната стена на комуникационния слой е подобна на защитната стена на приложния слой в смисъл, че и двете са прокси сървъри. Разликата е, че защитната стена на слоя на връзката не изисква специални приложения за комуникация между прокси сървъра и клиента. Както споменахме, защитните стени на приложния слой изискват специален софтуер за прокси сървър за всяка мрежова услуга като FTP или HTTP.
Защитната стена на свързващия слой създава комуникация между клиент и сървър, без да изисква приложенията да знаят нещо за предоставяната услуга. С други думи, клиентът и сървърът комуникират през защитната стена на слоя на връзката, без да комуникират със самата защитна стена. Защитните стени на слоя на връзката защитават само началната фаза на транзакция и не пречат на по-нататъшния ход на транзакция.
Предимството на защитните стени на слоя на връзката е, че те обработват голям брой протоколи. Както вече знаете, защитната стена на приложния слой изисква отделен посредник на приложния слой за всеки тип услуга, която защитната стена предоставя. От друга страна, ако използвате защитна стена на слой на връзката за HTTP, FTP или Telnet, не е необходимо да променяте съществуващи приложенияили добавете нови сървъри за посредничество за всяка услуга. Защитната стена на комуникационния слой позволява на потребителите да работят със съществуващ софтуер.
Освен това защитните стени на слоя на връзката използват само един сървър за посредничество. Както може да очаквате, използването на един сървър за посредничество е значително по-лесно от инсталирането на няколко.
И така, нека преминем от теория към практика. Помислете за засилване на личната защита за вашия компютър с помощта на добре познатата Agnitum OutpostЗащитна стена 2.1. Това е безспорният лидер сред семейството на лични защитни стени, с доказан опит в много случаи. Имайте предвид, че не става дума за професионална защитна стенаинсталиран на сървъра, а именно за лична защита. Въпреки че авторът има опит с използването на тази програма и на сървъри, защитата на сървъра все още е въпрос на други програми.
Agnitum Защитна стена на Outpost(http://www.agnitum.com/ products / outpost/) е един от най-младите представители на този клас програми. Но въпреки младостта си, той е сериозен конкурент дори за Zone Alarm. Програмата, която не отдавна излезе от бета тестване, се настани на компютрите на много интернет потребители и изглежда, че повечето няма да се разделят с този софтуерен продукт.
Широката популярност на програмата е напълно разбираема: мощна защитна стена, възможност за свързване на допълнителни модули и всичко, от което може да се нуждае обикновен потребител, вече е налице от момента на инсталиране, а освен това един от решаващите моменти при избора на програмата е руски интерфейс.
Може да се сравни с брава на вратата на вашата къща. Със сигурност се доверявате на повечето от съседите си, без да се страхувате, че ще нахлуят в къщата ви, ще съсипят или откраднат нещо. Обикновено само няколко са ненадеждни. Въпреки това, ако вашият район е гъсто населен, броят на ненадеждни хора се увеличава.
В интернет виждаме подобна ситуация, само че броят на съседите е в стотици милиони. Само малък процент от този брой хора имат хулигански наклонности, но това вече е много. Outpost Firewall не само затваря "вратите" на вашия компютър, но и го прави невидим в Интернет. При нормални обстоятелства компютърът изпраща своя адрес по мрежата. Това е като номера на вашия дом или регистрационния номер на колата ви. Този адрес може да бъде видян от други потребители. Outpost го прави невидим в интернет, включително за хакери: те просто не могат да определят дали компютърът ви е свързан към мрежата.
Основните предимства на Outpost Firewall:
- защитава вашия компютър веднага след инсталацията;
- има настройки по подразбиране за нови потребители;
- оптималната защита работи автоматично по време на монтаж;
- напреднали потребители могат да конфигурират защитната стена по желание;
- прави компютъра невидим в Интернет;
- предпазва отворени портовекомпютър от прониквания;
- потребителят може да зададе списък с доверени приложения;
- използване на плъгини за подобряване на функционалността на защитната стена;
- предпазва компютъра от наблюдение от отдалечен сайт;
- предупреждава потребителя за опит на скритото приложение да изпрати "сигнал за отговор" на хакера;
- Поддържа всички най-нови версии на Windows, запазвайки функциите му в случай на системна актуализация;
- използва малко системни ресурси за своята работа и няма да повлияе значително на производителността на вашата система;
- Дневникът на събитията ви позволява да видите всяко събитие, което се случва в системата;
- известните "тестове за уязвимост" са преминали успешно;
- многоезична поддръжка: Outpost Firewall се доставя на 14 езика, включително руски.
Външният вид на програмата абсолютно не се откроява сред приложенията на Windows, всичко е строго. Прозорецът на програмата е разделен на три основни части: лентата на главното меню в горната част; вляво са основните компоненти като връзки, лог файлове и плъгини; вдясно е информационен панел.
Веднага след като инсталирате Outpost Firewall, трябва да разгледате "Опции". Там можете да определите дали програмата трябва да се стартира заедно със зареждането на операционната система, дали настройките трябва да бъдат защитени с парола, да добавите основни приложения, които ще трябва да осигурят достъп до Интернет, да инсталирате Общи правилаза "активни" приложения, разберете програмната политика и конфигурирайте/заредете допълнителни модули.
Outpost Firewall pro идва с шест допълнителни модула - реклама, съдържание, DNS, активно съдържание, защита на файлове, откриване на атаки:
- Реклама. Модулът служи за почистване на HTML страници от натрапчиви рекламни банери, чиято задача, според много потребители, е да отхапва повече трафик за себе си. Методът на борба е доста прост: или изрежете описания по-рано ред от html-кода, или изрежете картината до определен размер, който сами можете да зададете. Ако банерът продължава да дразни така или иначе, значи има специална кошница, в който нормален трансферможе да се изпрати;
- DNS. Този модул запазва DNS имена за по-късна употреба в модула Активно съдържание;
- Активно съдържание. Този модул контролира работата на следните елементи: ActiveX; Java аплети програми в Java Script и VB Script; бисквитка; изскачащи прозорци; връзки (препратки), тоест възможността да получите URL адреса, от който са отишли към дадена уеб страница. Какво трябва да бъде забранено или разрешено, зависи от вас, но силно препоръчвам да обърнете внимание на елемента „Изскачащи прозорци“. Но не забравяйте, че колкото повече ограничения за съдържанието на дадена уеб страница зададете, толкова по-малки са шансовете да я видите във вида, в който е планирал нейният автор;
- Защита на файловете. Модулът е предназначен да организира проверката на прикачените файлове, пристигащи във вашата пощенска кутия. Можете да настроите файла да бъде сканиран за вируси или да получите известие от Outpost Firewall.
Можете да създадете свое собствено правило за всеки тип файл;
- Детектор на атаки. Модулът ви позволява да зададете условията, при които да се издава предупреждение при атака на вашия компютър. Има три основни нива:
ниво на параноидна аларма - издава се предупреждение, ако се открие дори едно сканиране на порт;
нормално ниво на аларма - издава се предупреждение, ако се сканират няколко порта или порта с определени в системата номера (т.е. в онези ситуации, които системата разпознава като атака срещу компютър); безразлично ниво на аларма - издава се предупреждение в случай на недвусмислена множествена атака. За да изтеглите нови версии на програмните компоненти от сайта на разработчика, е удобно да използвате системата за автоматично актуализиране, така че винаги ще имате нова версия на програмата.
Така че, ако имате нужда от непроницаема лична защитна стена с разширени настройки, полезни плъгини и руски интерфейс, тогава Outpost Firewall pro е за вас.
Outpost Firewall работи с всички Версии на Windows, включително Windows XP. Вярно е, че компанията-разработчик изисква 500 рубли за цялото удоволствие, но това не е причина за отчаяние. Има безплатна версия на програмата, която няма някои допълнителни функции, но все пак остава отлична лична защитна стена. Между другото, според мен, 500 рубли. много реална сума за закупуване на тази програма, особено за тези, които активно използват интернет.
Сега нека да разгледаме настройката на тази програма.
Някои от настройките се правят директно на етапа на инсталиране на продукта: Outpost ще търси програми, които обменят данни през мрежата и ще създава правила за тях, които смята, че са необходими. Потребителят е подканен да приеме тези условия, като постави отметка в квадратчето. Списъкът с програми, свързани към мрежата, е достъпен за разглеждане чрез щракване върху бутона Подробности.
В случая, показан на фигурата, този списък е доста дълъг. Например, няма абсолютно никаква нужда, например, Adobe Acrobat, без мое знание, да се свързва със сървъра си, за да проверява за актуализации, поради което флагът пред този продукт не беше отметнат: ако имате нужда от него, включете го На. Радвам се, че още на етапа на инсталиране Outpost се погрижи за създаването на правила за всички браузъри на поща и FTP клиенти, налични в системата.
Следващата стъпка е да приемете правилата за мрежови връзки, ако има такива. Любопитството в това отношение се задоволява с натискане на познатия бутон „Още“.
Привидно прекомерното подозрение на Outpost е разбираемо: ако шпионски модул се е настанил в системата (помните ли хаковете „отвътре“?) или нещо друго. нежелано приложение, много по-лесно е да се забрани мрежовата активност на противника в самия начален етап.
Сега нека конфигурираме основните параметри на защитната стена, за което в менюто "Опции" на главния прозорец изберете командата "Общи" (F2). По подразбиране, " Нормален режим»Зареждане на програма, при което Outpost се включва всеки път, когато операционната система се зарежда и поставя иконата си в областта за уведомяване.
За да заредите във фонов режим, проверете параметъра на едноименната секция "Зареждане" и ако по някаква причина автоматичното стартиране на защитната стена е нежелателно, достатъчно е да активирате опцията "Не зареждай".
Всички настройки на програмата могат да бъдат защитени с парола. Не бих ви посъветвал да пренебрегнете тази възможност: компютърната сигурност не толерира лекомислието.
В секцията „Защита с парола“ изберете опцията „Активиране“ и използвайте бутона „Задаване“, за да въведете необходимите знаци.
След това в прозореца с настройки отидете на раздела "Политики", където са посочени 5 режима на работа на програмата. Режимът „Разрешаване“ ще даде свобода на всички приложения, които не са били изрично забранени, тоест не са били в списъка на „Забранените приложения“; в режим "Блокиране" всички приложения, които не са изрично разрешени, ще бъдат забранени; режимът "Отказ" недвусмислено ще затвори мрежовия достъп до всички приложения, а режимът "Деактивиране" напълно ще успокои бдителността на Outpost Firewall.
По подразбиране е избран режимът на обучение: в този случай от потребителя всеки път се иска да приеме готово правило за приложение (например за стандартен имейл клиент), или сам да създаде такова правило, или безусловно да откажете мрежова активност на това или онова приложение. Този режим е идеален за по-голямата част от потребителите.
Сега относно настройката на приложения и създаването на правила. Настройките на приложението се управляват от едноименния раздел в прозореца с параметри (фиг. 3). Разделът „Персонализирано ниво“ изброява всички приложения, на които е разрешена мрежова активност. Но често възникват съмнения дали, например, е необходимо да се разреши достъп до Интернет за DWWIN.EXE. За да разберете "истинското име на скаута", трябва да изберете името на приложението, да натиснете бутона "Промяна" и да изберете командата "Създаване на правило" в падащото меню.
В прозореца, който се отваря, ми казаха, че приложението DWWIN.EXE не е нищо повече от Приложение на MicrosoftОтчитане на грешки, свързване чрез TCP към известен сървър. Предпочитам да правя без изпращане на доклади за грешки. Ето защо забраних стартирането на DWWIN.EXE с командата „Промяна“ ›“ Забрани ” стартирането на това приложение. За много програми Outpost има оптимални правила от кутията. Например, ако решите да инсталирате и стартирате Outlook Express, защитната стена незабавно ще предложи да разреши дейност на това приложение въз основа на готово правило за този конкретен имейл клиент.
Сега нека опитаме с две конкретни примерисъздаване на правила за приложения. При стартиране на известния eMule P2P клиент, защитната стена подканва потребителя да избере какво да прави с приложението. V в такъв случайМагарето се опитва да се свърже с IP адрес 207.44.142.33 през порт 4661 (фиг. 4.).
Нека си представим, че това не е eMule, а някаква програма, която е разрешена да влиза онлайн, но не на всеки адрес. След това ще изберем единствения параметър "Други" и ще натиснете бутона "OK", след което ще се отвори прозорец за създаване на правило с описание какво точно се опитва да направи тази програма.
Разбира се, показаната активност на мулето е абсолютно нормална, освен това сме добре дошли, така че изберете „Разрешаване на тези данни“, след което ще имаме правило като EMULE Rule #1, което описва и позволява този конкретен тип активност на приложението (фиг. 5).
Следващия път, ако дейността е от различен вид (друг отдалечен адрес, протокол или порт), ще трябва да повторите тези манипулации.
Ако мрежовата активност, която изисква достъп до мрежата, е неприемлива (например не сме доволни от отдалечения адрес), тогава в диалоговия прозорец за редактиране на правила изберете „Блокиране“. Следващия път (в нашия пример, в случай на различен, желан IP адрес) можем да създадем правило, напротив, позволяващо такава дейност. В крайна сметка, когато приложението е изчерпало всички видове типична дейност, ще сме създали всички правила, описващи това приложение.
Друг пример: бдителният Outpost ме предупреди, че компютърът се опитва да установи връзка по т. нар. IGMP протокол с отдалечен адрес 224.0.0.22 и ме помоли да потвърдя правото му да го направи. От една страна, нямам причина да не се доверявам на Outpost, от друга, вече има какво да се мисли.
В този случай моята операционна система изпраща т. нар. "broadcast" пакет, за да информира всички компютри на моя локален домашна мрежаза включване на компютъра ми и нищо повече. Ако нямате мрежа и връзката ви с доставчика се осъществява директно, тогава този пакет и съобщение са предназначени специално за доставчика. С други думи, това не е нищо повече от дейност на Windows. Ако имате постоянен IP адрес и не искате вашата мрежа да знае, че сте „публикувани“, тогава е по-добре да забраните подобна дейност. Що се отнася до адреса 224.0.0.22, това е стандартният адрес, използван от Windows в този случай: програмата за маршрутизиране периодично изпраща заявки до работната група, за да поиска дали дадена машина принадлежи към тази локална мрежа.
Да преминем към настройката мрежови параметри... Раздел „Система“. По подразбиране Outpost автоматично открива и прилага нови настройки за мрежова връзка, позволявайки всички NetBIOS връзки. Дали да се доверите на този или онзи локален адрес, зависи от вас (раздел "Настройки на мрежата").
Разделът "ICMP" ›" Параметри "съдържа настройки за съобщения ICMP протокол, които се предават при възникване на различни ситуации, включително грешни. Те се генерират от програми, които анализират състоянието на мрежата, включително ping и traceroute. За нормална работаВ Интернет трябва да приемете три типа ICMP съобщения (ехо отговор, получател недостижим и време за изчакване на дейтаграмата) и да изпратите два (получател недостижим и ехо заявка). Препоръчително е да изключите приемането и изпращането на други съобщения - тогава те ще бъдат блокирани.
Outpost използва тези настройки по подразбиране, така че няма нужда да преконфигурирате нищо. Въпреки това, ако вие напреднал потребители трябва да разрешите получаването или изпращането на ICMP съобщения, блокирани от защитната стена, можете лесно да направите това с едно щракване в съответния прозорец с настройки (фиг. 6).
Скритият режим е активиран по подразбиране (раздел "Режим на работа"), а параметрите за редактиране на общи правила се намират в едноименната секция. По мое мнение скромно мнениене е необходимо да се променят общите правила, определени от разработчиците.
Както бе споменато по-горе, Agnitum Outpost Firewall има модулна структура, тоест има възможност да свързва някои изпълними модули. Нека разгледаме настройките на основните плъгини.
Модулът „Интерактивни елементи“ може да блокира нежелани ActiveX контроли, Java аплети и изскачащи прозорци (всички са разрешени по подразбиране). За да извикате настройките, изберете името на този модул и изберете командата "Свойства" от контекстното меню (фиг. 7). Там можете също да забраните извикване на нежелани URL адреси: раздел „Изключения“ ›бутон „Добавяне“.
Плъгинът Attack Detector е активиран по подразбиране и е един от основните и най-полезни инструменти на тази защитна стена. В контекстното меню изберете командата "Параметри" и отворете прозореца за настройки на детектора на атаки. С помощта на плъзгача задайте едно от трите нива на аларма, при които програмата ще издаде предупреждение.
По подразбиране се избира нивото, при което атаката се разпознава при сканиране на множество портове. Не е излишно да проверите опциите "Блокиране на атакуващия", "Блокиране на подмрежата на атакуващия" и "Блокиране местно пристанищеако бъде открита DoS атака." Цялата информация за опитите за свързване с вашия компютър ще бъде показана в таблона дясно. Нека разгледаме по-отблизо два примера от практиката.
Ако Outpost отчита заявки за връзка, но показва нулеви стойности за атаки и сканиране на портове, не е нужно да се притеснявате - това е нормална мрежова активност. Разбира се, компютърът в локалната мрежа с адреса, показан в съобщението, може да бъде заразен с вирус. Но това не е атака.
Но животът не винаги е толкова безоблачен: на фиг. 8. (екранна снимка от предишната версия на програмата) показва пример за истинска RST атака, а Outpost незабавно показва информация за IP адреса на нападателя и истинския URL адрес.
Настройките на модула "Реклама" позволяват блокиране на реклами както по HTML редове, така и по размер на банери (по подразбиране и двата параметъра са активирани). Инструментът „Кошче“ за реклами е удобен при сърфиране: просто плъзнете и пуснете нежелан банер в този кош, за да се отървете завинаги от конкретни реклами.
В раздела „Общи“ в прозореца с настройки можете да добавите списък с доверени сайтове, чиито банери няма да бъдат блокирани.
Модулът "Съдържание" ви позволява да "финно настройвате" забраната за определени интернет страници. В раздела „Блокиране по съдържание“ е достатъчно да въведете „непристойни“ думи, така че страницата, съдържаща тези редове, да не се показва от браузъра: много полезно за родители, обичащи деца ...
В раздела „Блокиране на уеб сайтове“ домашният системен администратор може да въведе група от забранени URL адреси, които домашните системи не искат да разглеждат.
Разбира се, такава програма се нуждае от дневник, където ще се съхраняват дневниците на работата. Прозорецът Log на Outpost се използва за преглед на текущата информация, предоставена от защитната стена.
За да се обадите на "Журнала", трябва да отворите менюто "Услуга" на главния прозорец и да изберете командата "Преглед на дневника" или да използвате бутона "Покажи дневник" в информационния панел.
Освен това могат да се видят всички отчети за извършената работа за определен период: например какви атаки са били предприети (и дали е имало); какви подозрителни пакети минаха пред несънливото око на Outpost и т.н.
От книгата Защита на вашия компютър автора Яремчук Сергей АкимовичГлава 5 Системи за смекчаване на атаки Причини и как работят Защита на вашия компютър при използване Kaspersky Internet SecurityPublic система за сигурност Prevx1 За защита на компютърните системи в момента се разработват много програми, които изпълняват конкретна задача.
От книгата Работа на лаптоп автора Садовски АлексейГлава 20 Защита от вируси Kaspersky Anti-Virus NOD32 Лекарите казват: превенцията е най-доброто лечение. Тези думи са приложими не само за медицината. Преди няколко десетилетия компютрите също започнаха да се заразяват. Компютърните вируси са създадени от човека. За какво? Това определено не е така
От книгата Защитете компютъра си 100% от вируси и хакери автора Бойцев Олег Михайлович1.3. Някои видове мрежови атаки Мрежовите атаки отдавна са на фона на съвременното киберпространство. Кражба на поверителни данни, кражба на пароли за достъп, дефейс (хакване, резултатът от което е подмяна на началната страница на сайта) сайтове и
От книгата Wi-Fi. Безжична мрежа автор Рос ДжонГлава 4 Защита от злонамерен софтуер? Какво представлява кратка класификация на зловреден софтуер? Избирате най-добрата антивирусна програма? Защита на вашия компютър от троянски коне? Практически екзорсизъм – прогонваме „кода на злото“ с голи ръце
От книгата Основи на информатиката: Учебник за университети автора Малинина Лариса АлександровнаГлава 4. Инсталиране и конфигуриране на мрежови интерфейси Инсталирането на безжичен мрежов адаптер е по-лесно от инсталирането на точка за достъп, тъй като повечето мрежови адаптери са устройства за автоматично свързване. Независимо от физическото
От книгата Linux Networking автор Смит Родерик У.Глава 11 Информационна сигурност 11.1. Основи на защитата на информацията и информацията, представляваща държавна тайна Концепцията за "информация" днес се използва много широко и многостранно. Трудно е да се намери област на експертиза, където да не се използва. Огромна информация
От книгата РЪКОВОДСТВО ЗА ДИЗАЙНЕРА НА БАЗА ДАННИ Firebird от Бори ХелънГлава 1 Конфигуриране на мрежата на ядрото "Всички пътища водят към Рим", се казва. Нещо подобно може да се каже за Linux мрежи; в този случай ядрото на операционната система действа като Рим. Рано или късно целият мрежов трафик ще бъде обработен от ядрото. Различни
От книгата Правене на игри за мобилни телефони от Морисън МайкълГлава 2 Конфигуриране на TCP/IP мрежа Въпреки че ядрото е основният компонент на Linux система и контролира мрежовата комуникация, наред с други неща, конфигурирането на система за работа в мрежа не се ограничава до конфигуриране на ядрото. В това
От книгата Атака в интернет автора Иля Давидович МедведовскиГЛАВА 34. Защита на сървъра. Инсталацията на сървъра включва база данни за потребителска самоличност за съхраняване на описание на всички потребители, които имат достъп до сървъра на Firebird. За всеки потребител трябва да бъде дефинирана парола, чувствителна към малки и големи букви
От книгата Защита на корпоративните мрежи от хакери автора автор неизвестенГлава 14 Основи на игрите в мобилна мрежа
От книгата ИТ сигурност: Струва ли си да рискувате корпорация? автор Маккарти ЛиндаГлава 6 Причини за успеха на отдалечените атаки „Това, което е измислено от един човек, може да бъде разбрано от друг“, каза Холмс. А. Конан Дойл. Танцуващи мъже В двете предишни глави беше показано, че общите принципи на конструиране на разпределени AC позволяват да се отдели едно цяло
От книгата на автораГлава 8 Как да се предпазим от отдалечени атаки в интернет - ... Кажете ми честно - има ли изход от този кошмар? - Винаги има изход - отговори Еркюл Поаро. А. Кристи. Подвизите на Херкулес, преди да говорим за различни аспектипредоставяне на информация
От книгата на автораГлава 9 Минало и настояще на мрежовите операционни системи Вековната и зловеща мечта за вирусите е абсолютно световно господство и колкото и ужасни да са методите, които използват в момента, не може да им бъде отказано упоритостта, изобретателността и способността им да
От книгата на автораГлава 3 Класове атаки Тази глава обсъжда следните теми: Преглед на класовете атаки Техники за тестване на уязвимости Резюме Резюме Често задавани въпроси
От книгата на автораГлава 12 Измамване на мрежови обекти: Атаки срещу надеждни самоличности Тази глава обсъжда следните теми: Дефиниране на измамна теория на подправяне Еволюция на установяването на доверителна идентичност в компютърните мрежи Способността да се съмнявате в измама
От книгата на автораГлава 1 Намаляване на атаките Откриването, изолирането и разрешаването на инциденти прилича много на обезвреждане на експлозивни устройства — колкото по-бързо и по-добре го направите, толкова по-малко щети ще причини инцидентът със сигурността. Джийн Шулц, гл
Отдалечените мрежови атаки са от особен интерес за разглеждане. Интересът към този тип атаки се дължи на факта, че разпределените системи за обработка на данни стават все по-разпространени в света. Повечето потребители работят с отдалечени ресурсиизползвайки ИНТЕРНЕТ и стека от протоколи TCP / IP. Първоначално ИНТЕРНЕТ беше създаден, за да свързва държавни агенции и университети за подпомагане на образователния процес и научните изследвания, като създателите на тази мрежа не подозираха колко разпространена ще бъде тя. В резултат на това в ранните спецификации на интернет протокол (IP) липсваха изисквания за сигурност. Ето защо много IP реализации са по своята същност уязвими.
Курсът обхваща следните атаки и как да се справите с тях.
Надушаваща атака.Сниферът за пакети е приложна програма, която използва мрежова карта, работеща в безразборен режим (в този режим всички пакети, получени по физически канали, се изпращат до приложението от мрежовия адаптер за обработка). В същото време сниферът прихваща всички мрежови пакети, които се предават през определен домейн. В момента сниферите работят в мрежи на напълно законно основание. Използват се за отстраняване на неизправности и анализ на трафика. Въпреки това, поради факта, че някои мрежови приложения предават данни в текстов формат (Telnet, FTP, SMTP, POP3 и др.), с помощта на снифер можете да намерите полезна и понякога поверителна информация (например потребителски имена и пароли).
Прихващането на потребителски имена и пароли е много опасно, тъй като потребителите често използват едно и също потребителско име и парола за множество приложения и системи. Много потребители обикновено имат една парола за достъп до всички ресурси и приложения. Ако приложението работи в режим клиент/сървър и данните за удостоверяване се предават по мрежата в четим текстов формат, тази информация най-вероятно може да се използва за достъп до други корпоративни или външни ресурси. В най-лошия случай нападателят получава достъп до потребителски ресурс на системно ниво и го използва, за да създаде нов потребител, който може да бъде използван по всяко време за достъп до мрежата и нейните ресурси.
Можете да смекчите заплахата от подслушване на пакети, като използвате следните инструменти:
Удостоверяване. Силното удостоверяване е първият начин за защита срещу подслушване на пакети. Под "силен" имаме предвид метод за удостоверяване, който е труден за заобикаляне. Пример за такова удостоверяване са еднократните пароли (OTP - One-Time Passwords). OTP е технология за двуфакторно удостоверяване. Типичен пример за двуфакторна автентификация е работата на обикновен банкомат, който ви разпознава, първо, по вашата пластмасова карта и, второ, по въведения ПИН-код. За автентификация в OTP системата са необходими още ПИН код и вашата лична карта. Токенът е хардуерен или софтуерен инструмент, който генерира на случаен принцип уникална еднократна еднократна парола. Ако нападателят научи тази парола с помощта на снифер, тази информация ще бъде безполезна, тъй като в този момент паролата вече ще бъде използвана и изтеглена от употреба. Имайте предвид, че този метод против подслушване е ефективен само срещу прихващане на пароли. Сниферите, които прихващат друга информация (например имейл съобщения), не губят своята ефективност.
Комутирана инфраструктура. Друг начин за борба с подслушването на пакети в мрежова среда е създаването на комутирана инфраструктура. Ако, например, цяла организация използва комутиран Ethernet, нападателите могат да получат достъп само до трафика на порта, към който са свързани. Комутираната инфраструктура не елиминира заплахата от подслушване, но значително намалява нейната сериозност.
Анти-смърчачи. Третият начин за борба с подслушването е да инсталирате хардуер или софтуер, които могат да разпознават смъркачите в мрежата. Тези инструменти не могат напълно да премахнат заплахата, но като много други инструменти за мрежова сигурност, те са включени в цялостната защитна система. Така наречените „анти-снифери“ измерват времето за реакция на хоста и определят дали хостовете трябва да обработват „допълнителен“ трафик.
Криптография. Най-ефективният начин за справяне с подслушването на пакети не предотвратява подслушването или разпознаването на снифери, но прави тази работа безполезна. Ако комуникационният канал е криптографски защитен, това означава, че нападателят не прихваща съобщението, а шифрованата (тоест неразбираема последователност от битове).
IP спуфинг атака.Тази атака се случва, когато нападател, независимо дали е вътре или извън корпорацията, се представя за оторизиран потребител. Най-простата причина за използване на фалшиви IP адреси е, че кракерът иска да скрие дейността си в океана от мрежова активност. Например строителят мрежови схеми NMAP3 използва излъчването на допълнителни поредици от пакети, всеки от които използва собствен фалшив IP адрес на подателя. Нападателят знае кои IP адреси са фалшиви и кои пакети във всяка последователност са реални. Администраторът по сигурността на атакуваната система ще бъде принуден да анализира много фалшиви IP адреси, преди да определи истинския IP адрес на нападателя.
Друга причина, поради която нападателят използва IP спуфинг, е да скрие самоличността си. Въпросът е, че е възможно да се проследи IP адреса чак до отделна система, а понякога дори до отделен потребител. Следователно нападателят се опитва да избегне откриването, като използва IP спуфинг. Използването на подправен IP адрес обаче носи редица трудности за подателя.
Всички отговори от атакуваната система се изпращат до фалшив IP адрес. За да види или получи тези отговори, нападателят трябва да е на път от компрометираната машина към подправения IP адрес (от понена теория). Тъй като отговорът не следва непременно същия маршрут като изпратения подправен пакет, нападателят може да загуби отхвърления трафик. За да избегне това, нападателят може да попречи на работата на един или повече междинни рутери, чиито адреси ще бъдат използвани като фалшиви, за да пренасочи трафика към друго място.
Друг подход е нападателят да отгатне предварително последователните номера на TCP, които се използват от атакуваната машина. В този случай не е необходимо да получава SYN-ACK пакет, тъй като просто генерира и изпраща ACK пакет с предвидения пореден номер. Ранните реализации на IP стекове използваха предвидими схеми за номериране на последователности, така че те бяха податливи на фалшиви потоци от TCP данни. В съвременните реализации е по-трудно да се предвиди поредният номер. Създателят на мрежови схеми на NMAP има способността да оцени сложността на прогнозирането на последователните номера на системите, които се сканират.
В трети сценарий нападателят може да попречи на един или повече рутери, разположени между неговия сървър и атакувания сървър. Това прави възможно насочването на трафика за отговор, предназначен за подправения IP адрес към системата, от която произхожда натрапникът. След като хакването приключи, рутерът се освобождава, за да покрие следите си.
И накрая, нападателят може да няма намерение да отговори на SYN-ACK, който се връща от жертвата. Може да има две причини за това. Нападателят може да извършва сканиране на полуотворен порт, известно като SYN сканиране.В този случай той се интересува само от първоначалния отговор на атакуваната машина. Комбинация от RST-ACK флагове означава, че сканираният порт е затворен, а комбинация SYN-ACK означава, че е отворен. Целта е постигната, така че няма нужда да отговаряте на този SYN-ACK. Възможно е също така, когато се извърши лавинообразен SYN хак. В този случай нападателят не само не отговаря на SYN-ACK или RST-ACK пакети, но дори не се интересува от типа пакети, получени от компрометираната система.
Атаките с IP спуфинг често са отправна точка за други атаки. Класически пример е DoS атака, която започва с адрес на някой друг, който скрива истинската самоличност на нападателя.
Обикновено IP спуфингът е ограничен до вмъкване на фалшива информация или злонамерени команди в нормалния поток от данни между клиентски и сървърни приложения или комуникации между партньори.
Както беше отбелязано, за двупосочна комуникация нападателят трябва да промени всички таблици за маршрутизиране, за да насочи трафика към подправен IP адрес. Някои нападатели обаче дори не се опитват да получат отговор от приложенията. Ако основната задача е да получите важен файл от системата, отговорите на приложенията нямат значение. Ако нападателят успее да промени таблиците за маршрутизиране и да насочи трафика към фалшив IP адрес, нападателят ще получи всички пакети и може да отговори на тях, сякаш е оторизиран потребител.
Заплахата от спуфинг може да бъде смекчена (но не и елиминирана) с следните мерки:
Контрол на достъпа. Най-лесният начин да предотвратите IP спуфинг е правилно да конфигурирате контрола на достъпа. За да намалите ефективността на IP спуфинг, трябва да конфигурирате контрол на достъпа, за да отрежете всеки трафик, идващ от външната мрежа с адрес на източник, който трябва да се намира във вашата мрежа. Имайте предвид, че това помага в борбата с IP спуфинг, когато са оторизирани само вътрешни адреси. Ако някои адреси на външната мрежа също са разрешени, този метод става неефективен.
Филтриране на RFC 2827. Опитите за подвеждане на мрежи на други хора от потребители на защитената мрежа се спират, ако изходящ трафик бъде отхвърлен, чийто изходен адрес не е един от IP адресите на защитената организация. Този тип филтриране, известен като "RFC 2827", може да се извърши и от вашия интернет доставчик. В резултат на това целият трафик, който няма очакван адрес на източник на конкретен интерфейс, се отхвърля. Например, ако доставчикът на интернет услуги предоставя връзка с IP адрес 15.1.1.0/24, той може да конфигурира филтъра така, че само трафик, идващ от 15.1.1.0/24, да бъде разрешен от този интерфейс към рутера на ISP. Имайте предвид, че докато всички доставчици не въведат този тип филтриране, неговата ефективност ще бъде много по-ниска от възможното. Освен това, колкото по-далече от филтрираните устройства, толкова по-трудно е да се извърши точно филтриране. Така например филтрирането по RFC 2827 на ниво рутер за достъп изисква преминаване на целия трафик от главния мрежов адрес (10.0.0.0/8), докато на ниво на разпространение (в тази архитектура) можете да ограничите трафика по-точно (адрес - 10.1 .5.0/24).
IP спуфингът може да функционира само ако удостоверяването се основава на IP адреси. Следователно, въвеждането на допълнителни методи за удостоверяване прави този тип атака безполезна. Най-добрият тип допълнително удостоверяване е криптографското. Ако това не е възможно, двуфакторната автентификация с помощта на еднократни пароли може да даде добри резултати.
Отказ от услуга (DoS). DoS без съмнение е най-известната форма на атака. Освен това срещу този тип атака е най-трудно да се създаде стопроцентова защита. Простотата на внедряване и огромните щети, които причинява, привлякоха вниманието на администраторите по мрежова сигурност към DoS. Най-известните видове атаки са: TCP SYN Flood; Пинг на смъртта; Tribe Flood Network (TFN) и Tribe Flood Network 2000 (TFN2K); Тринко; Stacheldracht; Троица.
Източникът на информация за тези атаки е екипът за спешно реагиране на компютър (CERT), който публикува документ за противодействие на DoS атаки.
DoS атаките са различни от другите видове атаки. Те не са насочени към получаване на достъп до вашата мрежа или получаване на информация от тази мрежа. DoS атака прави мрежата недостъпна за нормална употреба, като надвишава допустимите граници на мрежата, операционната система или приложението. В случай на някои сървърни приложения (като уеб сървър или FTP сървър), DoS атаките могат да отнемат всички налични връзки за тези приложения и да ги задържат, като попречат на обикновените потребители да обслужват. DoS атаките могат да използват общи интернет протоколи като TCP и ICMP (Internet Control Message Protocol).
Повечето DoS атаки не разчитат на софтуерни грешки или дупки в сигурността, а на общи слабости в архитектурата на системата. Някои атаки анулират производителността на мрежата, като заливат мрежата с нежелани и ненужни пакети или като дават фалшива информация за текущото състояние на мрежовите ресурси. Този тип атака е трудно да се предотврати, тъй като изисква координация с доставчика. Ако трафикът, предназначен за претоварване на мрежата, не бъде спрян при доставчика, тогава няма да е възможно да се направи това на входа на мрежата, тъй като цялата честотна лента ще бъде заета. Когато този тип атака се извършва едновременно на няколко устройства, говорим за разпределена DoS (DDoS) атака.
DoS атаките могат да бъдат смекчени по три начина:
Функции против спуфинг. Правилната конфигурация на функциите против подправяне на вашите рутери и защитни стени ще помогне за намаляване на риска от DoS. Като минимум тези функции трябва да включват филтриране по RFC 2827. Освен ако нападателят не успее да прикрие истинската си самоличност, е малко вероятно той да започне атака.
Anti-DoS функции. Правилната конфигурация на анти-DoS функции на рутери и защитни стени може да ограничи ефективността на атаките. Тези функции често ограничават броя на полуотворените канали във всеки даден момент.
Ограничаване на скоростта на трафика. Организацията може да поиска от интернет доставчика да ограничи количеството трафик. Този тип филтриране ви позволява да ограничите количеството на некритичния трафик, преминаващ през вашата мрежа. Често срещан пример е ограничаването на количеството ICMP трафик, който се използва само за диагностични цели. (D) DoS атаките често използват ICMP.
Атаки с пароли.Нападателите могат да извършват атаки с пароли, използвайки различни техники, като атаки с груба сила, троянски коне, IP спуфинг и подслушване на пакети. Въпреки че входът и паролата често могат да бъдат получени чрез IP спуфинг и подслушване на пакети, хакерите често се опитват да отгатнат паролата и да влязат, като използват множество опити за достъп. Този подход се нарича атака с груба сила.
Често за такава атака се използва специална програма, която се опитва да получи достъп до споделен ресурс (например сървър). Ако в резултат на това нападателят получи достъп до ресурси, той го получава като нормален потребител, чиято парола е отгатнала. Ако този потребител има значителни привилегии за достъп, нападателят може да създаде за себе си "пропуск" за бъдещ достъп, който ще бъде валиден дори ако потребителят промени своята парола и вход.
Друг проблем възниква, когато потребителите използват една и съща (дори и много добра) парола за достъп до много системи: корпоративни, лични и интернет системи. Тъй като силата на паролата е равна на силата на най-слабия хост, нападател, който научи паролата чрез този хост, получава достъп до всички други системи, където се използва същата парола.
На първо място, атаките с пароли могат да бъдат избегнати, като не се използват пароли в обикновен текст. Еднократните пароли и/или криптографската автентификация могат на практика да премахнат заплахата от подобни атаки. За съжаление, не всички приложения, хостове и устройства поддържат горните методи за удостоверяване.
Когато използвате обикновени пароли, опитайте се да измислите парола, която е трудна за отгатване. Минималната дължина на паролата трябва да бъде най-малко осем знака. Паролата трябва да включва главни букви, цифри и специални знаци (#,%, $ и т.н.). Най-добрите пароли са трудни за отгатване и трудни за запомняне, което принуждава потребителите да записват пароли на хартия. За да избегнат това, потребителите и администраторите могат да се възползват от някои от най-новите технологични постижения. Например, има приложни програми, които криптират списък с пароли, които можете да съхранявате във вашия Pocket PC. В резултат на това потребителят трябва да запомни само една сложна парола, докато всички останали пароли ще бъдат надеждно защитени от приложението.
Атаки на човек по средата.За атака Man-in-the-Middle нападателят се нуждае от достъп до пакетите, предавани по мрежата. Такъв достъп до всички пакети, предавани от доставчика към всяка друга мрежа, може например да бъде получен от служител на този доставчик. Сниферите на пакети, транспортните протоколи и протоколите за маршрутизиране често се използват за атаки от този тип. Атаките се извършват с цел кражба на информация, прихващане на текущата сесия и получаване на достъп до частни мрежови ресурси за анализиране на трафика и получаване на информация за мрежата и нейните потребители, извършване на DoS атаки, изкривяване на предаваните данни и въвеждане на неоторизирана информация в мрежата сесии.
Атаките на човек в средата могат да бъдат ефективно борени само с помощта на криптография. Ако нападателят прихване данните от криптирана сесия, на екрана му ще се появи не прихванатото съобщение, а безсмислен набор от знаци. Обърнете внимание, че ако нападателят получи информация за криптографска сесия (например ключ на сесията), това може да направи възможна атака Man-in-the-Middle дори в криптирана среда.
Атаки на ниво приложение.Атаките на приложния слой могат да се извършват по няколко начина. Най-често срещаният от тях е да се използват добре познати слабости в сървърния софтуер (sendmail, HTTP, FTP). Използвайки тези слабости, нападателите могат да получат достъп до компютъра от името на потребителя, който изпълнява приложението (обикновено това не е обикновен потребител, а привилегирован администратор с права за достъп до системата). Атаките на ниво приложение са широко разгласени, за да се даде възможност на администраторите да коригират проблема с коригиращи модули (кръпки, кръпки). За съжаление, много нападатели също имат достъп до тази информация, което им позволява да се научат.
Основният проблем с атаките на приложния слой е, че те често използват портове, на които е разрешено да преминават през защитната стена. Атаките на приложния слой не могат да бъдат напълно изключени.
